两位安全研究人员披露了 TCL 制造的 Android 智能电视的两个漏洞，TCL 已通过遥测方法在 11 月初修复了这些漏洞。其中一个漏洞编号 CVE-2020-27403 允许邻近网络的攻击者通过运行在 7989 端口的 web server 访问和下载敏感文件，包括大部分系统文件、照片、个人数据和连接应用的安全令牌。另一个漏洞编号 CVE-2020-28055 位于 TCL 软件中，允许本地非特权用户读写文件系统内的重要供应商资源目录，其中包括升级文件夹。受影响的 TCL 智能电视多达数百万。

微软在周二释出了 11 月例行安全更新，修复了 112 个安全漏洞，其中 17 个为高危级。15 个微软产品受到影响，其中包括 Microsoft Windows、Office、Internet Explorer、Edge (EdgeHTML 和 Chromium 版)、ChakraCore、Exchange Server、Dynamics、Windows Codecs Library、Azure Sphere、Windows Defender、Teams、Azure SDK、Azure DevOps 和 Visual Studio。修复的一个漏洞是 Google 安全团队 Project Zero 在上月底披露的 Windows Kernel Cryptography Driver 漏洞(CVE-2020-17087)，该提权漏洞据信正被利用，因此 Google 提前进行披露。

研究人员找到了新方法远程窃取英特尔 CPU 的密钥，即使 CPU 启用了 SGX（software guard extensions）。最新的攻击被称为 PLATYPU，能通过 Running Average Power Limit（RAPL）远程利用发动旁路攻击。RAPL 是英特尔的接口，用于监控通过 CPU 和内存的能流。研究人员发现，利用 RAPL 能获得有关指令和数据流的足够多线索，从而推断出 CPU 加载的值，泄露 SGX 保管的加密密钥，挫败 ASLR（地址空间布局随机化），建立一个秘密通道悄悄窃取数据。英特尔始于 Sandy Bridge 架构的 CPU 都存在该漏洞。

中国白帽子黑客被限制参加国外的安全挑战赛如 Pwn2Own，于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯，2018 年举办了第一届，第三届于上周末举行。在这次安全挑战赛上，运行在 iPhone 11 Pro 上的 iOS 14 、三星 Galaxy S20、Windows 10 v2004、Ubuntu、Chrome、Safari、Firefox、Adobe PDF Reader、Docker (Community Edition)、VMWare EXSi、QEMU、VirtualBox、普联和华硕的路由器等成功遭到攻陷。360政企安全漏洞研究院获得了最佳产品破解奖一等奖，蚂蚁安全光年实验室基础研究小组获得二等奖。

安全公司卡巴斯基发现了 Windows 勒索软件 RansomEXX 的 Linux 版本。这是首次一种规模比较大的 Windows 勒索软件被发现移植到 Linux 平台。RansomEXX 是一种较新的勒索软件，是在今年 6 月最早发现的，主要针对能支付大额赎金的目标。它的受害者包括了得州交通部、柯尼卡美能达、政府承包商 Tyler Technologies，蒙特利尔公交系统和巴西法院系统。RansomEXX 背后的运营者创建 Linux 版本是因为今天的许多企业其内部系统运行在 Linux 而不是 Windows 上。

隐私活动人士 Resynth1943 声称 GitHub 的源代码泄露。但 GitHub CEO Nat Friedman 迅速回应否认网站源代码泄露。Friedman 解释说，源代码意外公开的是 GitHub Enterprise Server，并非网站本身，虽然两者共享了一部分代码，但区别也很大。Friedman 称，它通常以混淆格式向客户提供 GitHub Enterprise Server 的源代码，但几个月前不小心向客户提供了非混淆的 GitHub Enterprise Server 代码。

Google 释出了 Chrome 的安全更新，修复了 10 个安全 bug，其中包括一个正被利用的 0day 漏洞。编号为 CVE-2020-16009 的漏洞是 Google 安全团队 Threat Analysis Group (TAG)发现的。漏洞位于 Chrome 的 JS 引擎 V8 中，Google 没有披露更多细节。它建议用户尽快升级到 v86.0.4240.183 版本。这是 Google 两周内修复的第二个 0day 漏洞，上次是在 10 月 20 日修复了 FreeType 字体渲染库的漏洞 CVE-2020-15999。

Google 安全团队 Project Zero 披露了一个正被利用的 Windows 0day 漏洞。因为该漏洞正被利用，Google 安全研究人员给了微软 7 天时间去修复，而微软可能需要等到 11 月例行安全更新时才可能修复漏洞。编号为 CVE-2020-117087 的漏洞位于 Windows Kernel Cryptography Driver (cng.sys)，是一个整数溢出漏洞，可用于提权，攻击者正组合该漏洞和另一个已修复的 Chrome FreeType 字体渲染库漏洞入侵存在漏洞的系统。微软发言人表示没有证据显示该漏洞正被广泛利用，该漏洞并不能影响加密功能。

Adobe Flash 将于 2020 年 12 月 31 日终止支持，微软释出了更新 KB4577586 永久性移除 Adobe Flash，在移除之后用户将无法再重新安装。该更新尚未通过 Windows Server Update Service (WSUS) 推送给用户，而是需要通过 Microsoft Update Catalog 下载和安装。该补丁将在 2021 年初通过 WSUS 提供给用户。微软在 Adobe Flash 终止支持前提供卸载补丁的一个目的是让企业级用户测试在 Windows 系统移除 Flash 对企业应用的影响。

研究人员提取出英特尔 CPU 微码更新的密钥。CPU 的微码更新主要用于修复安全漏洞和其它类型的 bug。拥有解密微码更新的密钥将允许黑客逆向工程，了解微码更新修复了哪些漏洞。它还可以允许攻击者创造恶意的微码更新，然后加载到 CPU 上，但由于缺乏签名，这种恶意微码更新在重启之后就会失效。独立研究员 Maxim Goryachy 与安全公司 Positive Technologies 的两名研究员 Dmitry Sklyarov 和 Mark Ermolov 合作完成了这一壮举，Goryachy 称这是英特尔处理器历史上第一次你可以执行你的微码和对微码更新进行分析。

美国俄勒冈州 Klamath Falls 市的一家医院 Sky Lakes Medical Center 在勒索软件攻击之后关闭了计算机系统。这是最新一起医院遭到勒索软件攻击的事件。在这之前，FBI、DHS 和美国卫生和人类服务部对医院和医疗机构面临大规模勒索软件攻击发出了警告。网络情报公司 Hold Security 的创始人 Alex Holden 声称他看到与俄罗斯勒索软件黑帮 Ryuk 有关联的犯罪分子在在线通信中透露他们计划对 400 多家美国医院发动勒索软件攻击。网络安全事故响应公司 Mandiant 称被称为 UNC1878 的黑客组织正在策划部署 Ryuk 勒索软件。

勒索软件攻击者入侵了芬兰提供心理和精神治疗的公司 Vastaamo，窃取了其客户数据库。攻击者索要价值 45 万欧元的比特币，如果 Vastaamo 不支付赎金它威胁公开患者的心理健康数据。勒索者从几天前开始在暗网网站以每天 100 人的速度公开数据，在公开了 200 多人之后它删掉了数据，很有可能是因为 Vastaamo 支付了赎金。对于支付赎金的询问 Vastaamo 拒绝证实或否认。

流行的密码管理器 1Password 发布了 Linux 桌面客户端的首个 beta 版本。这是一个功能完整的 Linux 桌面应用，正式版本预计将在明年初释出。Linux 版本的后端是完全用 Rust 语言开发的，利用了 ring 加密库实现端对端加密。其主要功能包括：快速查找和智能搜索建议；新的外观；等等。

安全公司 Rapid7 和安全研究员 Rafay Baloch 合作在 7 款移动浏览器上发现了十个假冒网址漏洞。受影响的浏览器包括了 Apple Safari、Opera Touch 和 Opera Mini，以及 Bolt、RITS、UC Browser 和 Yandex Browser。所谓假冒网址漏洞是指浏览器允许恶意的网站修改其网址冒充知名网站。这些漏洞是在今年初发现的，在 8 月报告给了浏览器开发商，大型开发商已经修复了漏洞，而小型开发商根本就没有回应研究人员，更不用说修复漏洞了。

Hugo Xu 在流行广告扩展 uBlock Origin 基础上开发了广告屏蔽扩展 Nano Adblocker 和 Nano Defender，安装量大约有 30 万。18 天前他表示自己没有时间维护扩展，其开发落后于上游版本几个月，因此他决定出售发布在 Google 扩展商店 Chrome Web Store 中的版本所有权，声明对新开发者的任何行动不再负责任。几天前，uBlock Origin 的开发者 Raymond Hill 透露，新开发者释出了更新加入了恶意功能。新版本会悄悄上传用户浏览数据，并操作用户的社交媒体账号给 Instagram 上的照片点赞。Google 在收到报告之后已经将扩展移除。Xu 表示发表在 Firefox 和 Microsoft Edge 扩展商店的版本不受影响。这不是第一次扩展转手之后变成了恶意程序。

美国宣布起诉 6 名俄罗斯政府黑客。这些黑客隶属于 Sandworm，代表俄罗斯情报总局 74455 部队发动了多起备受瞩目的黑客攻击，其中包括对乌克兰政府及其基础设施的 NotPetya 攻击，对法国选举的攻击，对韩国平昌冬奥会的主办方及 IT 系统的攻击（当年俄罗斯被禁赛），对禁止化学武器组织的攻击，对格鲁吉亚公司和政府实体的攻击。六人被控 7 项罪名，包括计算机欺诈罪，破坏受保护计算机罪和身份盗窃等。

纽约州金融服务部公布了发生在 7 月 15 日的 Twitter 黑客攻击调查报告。报告称，攻击始于 7 月 14 日下午，一名或多名黑客打电话给多名 Twitter 员工，自称是 IT 部门的技术支持，声称他们收到了 VPN 问题相关的报告。在切换到远程工作之后，VPN 出问题在 Twitter 十分常见。黑客尝试将 Twitter 员工引导到一个模仿 VPN 入口的钓鱼网站，当员工在钓鱼网站输入他们的登陆凭证，黑客同时在真实的 Twitter 网站输入账号。错误输入产生了一个 Multi-Factor Authentication 通知，要求员工验证身份，部分员工这么做了。没有证据表明 Twitter 员工知道他们在帮助黑客。黑客利用收集到的 Twitter 员工个人信息来说服员工相信他们是真的技术支持。黑客获得的 Twitter 员工登陆凭证并不能让他们访问内部工具，但通过该账号黑客掌握了更多内部系统的信息。7 月 15 日，黑客针对了能访问内部工具的 Twitter 员工。之后他们使用内部工具接管和出售 OG（original gangste） 账号，劫持名人的账号骗取比特币，窃取到价值超过 11.8 万美元的比特币。

安全公司 Bitdefender 的研究人员发现大约 9000 台物联网设备——大部分运行 Android，少数运行 Linux 和 Darwin——组成了被称为 Storm 的僵尸网络，其主要目的是创建盈利目的的代理服务器。这不是第一次僵尸网络充当代理服务器。攻击者是通过 SSH 扫描寻找弱密码或默认密码的设备然后感染机器，恶意程序 IPStorm 是用 Go 语言编写，整合了 NTP、UPnP 和 SOCKS5 等协议的开源实现，将 lib2p 库用于点对点功能。

微软在 8 月的例行更新中修复了被命名为 Zerologon 的高危漏洞 CVE-2020-1472，它允许已在目标网络立足的任意攻击者完全控制 Active Directory。该漏洞可被用于发动勒索软件攻击或植入间谍软件。安全研究人员在 9 月中旬公开了漏洞利用的 poc 代码，之后就传出黑客正在利用该漏洞的消息。安全研究员 Kevin Beaumont 上周披露，他设立的蜜罐探测到黑客正尝试利用 Zerologon 向尚未打补丁的服务器植入后门。攻击是利用脚本发动的，所有命令都在数秒内完成，攻击者使用用户名 sdb 和密码 jinglebell110@ 创建了账号并启用了远程桌面，即使服务器后来打上了补丁攻击者仍然能持续远程访问。

香港和澳门的三星手机用户报告，三星最近释出的固件将中国大陆的公共 DNS 服务 114.114.114.114 加入到了 DNS 设置中，三星手机还被发现连接到 WIFI 时大约每分钟向包括 114 在内的所有 DNS 服务器查询一次 qq.com 的域名，即使用户没有安装任何腾讯的软件。这一消息引发了隐私方面的担忧。三星在 10 月中旬释出的最新固件修复了 DNS 问题，但对 qq.com 的查询没有发生改变。