微软委托安全公司 Blackwing Intelligence 评估了三种流行指纹传感器的安全性，结果显示戴尔、联想甚至微软的笔记本电脑都能绕过 Windows Hello 指纹认证。安全研究人员评估了戴尔 Inspiron 灵越 15、联想 ThinkPad T14 和微软 Surface Pro X 嵌入的 Goodix、Synaptics 和 ELAN 指纹传感器，发现它们存在多个漏洞，可被用于绕过 Windows Hello 保护。这些漏洞可被攻击者执行发动中间人攻击，访问被盗的笔记本电脑，或者对无人看管的设备发动“邪恶女佣攻击（evil maid）”。

俄罗斯黑客释放的 U 盘蠕虫扩散到了世界各地。有着 Gamaredon、Primitive Bear、ACTINIUM、Armageddon 和 Shuckworm 等众多名字的黑客组织主要针对乌克兰的实体目标，它被认为与俄罗斯联邦安全局有关联。它使用的一种恶意工具是通过 U 盘传播的蠕虫 LitterDrifter。安全公司 Check Point Research 的研究人员报告，他们在美国、越南、智利、波兰、德国和香港等国家和地区监测到了感染 LitterDrifter 的证据，表明了这种 U 盘蠕虫的扩展。乌克兰之外国家的感染数量接近其半数。

一加联合创始人裴宇（Carl Pei）创办的手机公司 Nothing 上周发布了它的消息应用 Nothing Chats，该消息应用源自 Sunbird app，它立即被发现存在严重安全问题，不到 24 小时就被迫从 Google 应用商店 Play Store 下架。Nothing Chats 的卖点是允许用户使用苹果的账号和密码在 Android 上登陆 iMessage——这听起来就不像是好事，声称支持端对端加密，结果被发现明文储存信息，身份验证令牌通过 HTTP 发送，意味着中间人可以拦截并读取你的消息。Text.com 的调查发现，当用户收到一条消息或一则附件，在客户端请求确认前它们在服务端是未加密的。它还发布了一个概念验证应用能从服务器上提取出号称端对端加密的信息。

因拒绝支付赎金，勒索软件组织 LockBit 泄露了波音公司大约 45GB 的数据。这次网络攻击发生在 10 月 27 日，波音在同一天承认遭到网络攻击，表示没有影响到飞行安全。因未在两周内支付赎金，LockBit 公开了波音的数据，其中包括云计算公司 Citrix 的文件、安全控制、电邮备份等。安全分析师称，波音的邮件等数据对恶意攻击者非常有价值。安全公司 MalwareHunter 认为，泄露数据可能来自于波音在 2006 年收购的 Aviall。如果 Aviall 的系统在过去 17 年已经与波音深度整合，那么问题将会很严重。如果整合程度不高，那么 LockBit 只是入侵了 Aviall 的网络，问题不那么严重。

微软安全响应中心上周庆祝了周二补丁日实施二十周年。所谓周二补丁日是指在每个月的第二个星期二推送安全补丁。在统一采用周二补丁日前，安全补丁的发布是零零散散的，这种零散的模式给 IT 工作者和组织部署重要补丁带来了挑战。微软率先提出的可预测的补丁发布时间表改变了这一状况。

三星证实黑客在长达一年时间内窃取了英国客户的个人数据。三星向受影响客户发送邮件称，攻击者利用了未披露名字的第三方应用的漏洞，在 2019 年 7 月 1 日到 2020 年 6 月 30 日之间访问了在三星英国商店购物的客户个人信息。三星称它直到三年后的 2023 年 11 月 13 日才发现这次入侵。三星通知受影响客户，黑客可能已获取了姓名、电话号码、 邮政地址和电子邮件地址等信息。

名为 Alphv/BlackCat 的勒索软件组织向 SEC 投诉受害者未按照规定在四个工作日内披露数据被窃取事件。勒索软件组织声称它入侵了加州金融软件公司 MeridianLink，窃取了其客户数据，要求支付赎金否则将泄露窃取的数据。为了增加获得赎金的几率，该组织称已经向 SEC 投诉 MeridianLink，指控该公司未按 7 月公布的规定及时披露数据泄露。BlackCat 黑客称他们是在 11 月 7 日入侵了 MeridianLink，没有加密文件只是窃取了数据。MeridianLink 发言人证实遭到网络攻击，但尚未确认有客户数据被盗，称该公司的调查没有发现有未经许可访问其生产平台的证据，如果发现有客户数据被盗，将按照法律要求发布通知。

美国电动汽车制造商 Rivian 本周推送了最新更新 2023.42，但该更新导致了 R1Ses 和 R1Ts 的车载信息娱乐系统黑屏变砖，问题可能无法通过 OTA 更新解决。2023.42 除了导致显示屏黑屏外，并不影响汽车正常驾驶。Rivian 软件工程副总裁 Wassim Bensaid 在 Reddit 上承认了问题，称问题没有影响汽车系统的其它部分，重置无法解决问题，他们正在验证解决问题的最佳方案，已经向受影响车主发去了电子邮件，将在明天推送更新。

英特尔周二推送了微码更新，修复高危 CPU 漏洞 Reptar（CVE-2023-23583）。该漏洞影响几乎所有现代英特尔处理器，可被用于攻击云端主机。Reptar 与 CPU 管理前缀有关，Intel x64 解码通常允许忽略冗余前缀而不会有任何后果，但 Google 安全研究员 Tavis Ormandy 在测试时发现，在支持“快速短重复移动（fast short repeat move）”的英特尔处理器上运行 REX 前缀会产生“意料之外的结果”。一旦触发，可能导致虚拟机中的 guest 账号执行不信任代码而导致系统崩溃，或者可用于提权。

SektorCERT 披露丹麦关键基础设施在今年五月遭遇了该国历史上最大规模的网络攻击。有 22 家公司遭到入侵，部分公司被迫切断与外界的网络接入断开所有非必要网络连接。攻击者利用了未修复的 Zyxel 防火墙漏洞，还利用了多个尚未公布的 0day 漏洞。SektorCERT 研究人员表示，攻击由多个组织发起，其中至少一个与俄罗斯情报机构的 Sandworm 行动相关。Zyxel 防火墙漏洞是在 4 月爆出的，允许远程攻击者无需身份验证完全控制防火墙，许多使用 Zyxel 的组织以为防火墙是由供应商更新的，但实际上 Zyxel 的软件是免费的，获得安全补丁则需要付费。还有很多组织根本不知道网络中存在有问题的设备。这种情况使得攻击者可以利用已公开的漏洞发动攻击。

工行美国子公司 ICBC Financial Services 上周遭到勒索软件攻击，与俄罗斯有关联的勒索软件组织 LockBit 与此次攻击相关。攻击者利用最近披露的高危漏洞入侵工行系统，此事凸显了及时打补丁的重要性。攻击者利用的一个漏洞是思杰(Citrix)在 10 月 10 日披露的 CitrixBleed 高危漏洞 CVE-2023-4966，危险等级 9.4/10，可远程利用，无用户互动，无特殊权限，低复杂度。攻击发生之后，工行隔离了部分系统，切断了与美国国债市场以及为其结算交易的纽约梅隆银行平台的连接，开始手动清算交易。工商尚未透露是否向黑客支付赎金。

安全公司 Checkmarx 报告了针对 Python 开发者的供应链攻击，攻击者发布了 8 个用于混淆代码的 Python 软件包，其中植入了具有高度侵入性的后门。这些软件包共被下载了 2348 次。以第八个混淆包 pyobfgood 为例，一旦安装，攻击者基本上可以完全控制受害者的电脑，能窃取主机信息、窃取 Chrome 保存的密码、设置键盘记录器、下载文件、屏幕截图和录屏录音、通过增加 CPU 占用等方法关闭电脑或导致蓝屏死机、加密文件、执行任何指令，等等。软件包的下载绝大部分来自美国（62%）、其次是中国（12%）和俄罗斯（6%）。

工商银行美国子公司 ICBC Financial Services(FS) 于 11 月 9 日遭到了勒索软件攻击。ICBC FS 在网站的声明中表示它立即切断了网络连接隔离了受影响系统。工商银行表示，其业务和电邮系统是独立于集团运行，这起事故没有对纽约分行、总行以及其他境内外附属机构产生影响。它已经向执法机构报告了这起事件。工商银行是全球收入最高的商业银行，去年收入 2147 亿美元，利润 535 亿美元。勒索软件攻击短干扰了美国国债的交易，ICBC FS 表示它能清算 8 日执行的美国国债交易，以及 9 日的回购融资。

澳大利亚主要港口运营商 DP World Australia 在网络攻击导致设施瘫痪愈两天后恢复了正常运行。该公司管理的港口处理了澳大利亚四成的进出口货物，从上周五到本周一早晨，位于墨尔本、悉尼、布里斯班和珀斯的港口运营因网络攻击受到干扰。这次事故没有影响到澳大利亚超市的商品供应。DP World Australia 隶属于迪拜国有的 DP World 集团，该公司表示今天将有四千个集装箱离开其管理的四个港口。目前还不清楚攻击者的身份。DP World 表示在上周五攻击发生之后，它立刻切断了与港口的网络连接，防止对其网络的任何未经授权的访问。它表示正对此次事故展开调查。

OpenAI 的 AI 聊天服务 ChatGPT 及其 API 昨天遭遇了服务周期性中断事故，OpenAI 在事故声明中称遭到了 DDoS 攻击。它没有指出是谁发动了攻击，但自称 Anonymous Sudan 的组织称攻击是它发起的，攻击理由是 OpenAI 对以色列和巴勒斯坦的广泛偏见。Anonymous Sudan 称攻击使用了 SkyNet 僵尸网络，该僵尸网络自 10 月以来提供了压力服务，加入了对应用层 DDoS 攻击的支持。Anonymous Sudan 在今年 6 月成功 DDoS 攻击了微软的 Outlook.com、OneDrive 和 Azure Portal。

特斯拉可以在任何时候远程访问其生产的电动汽车。在引发隐私和安全方面的争议和担忧之后，特斯拉在最新的软件更新中允许车主关闭远程访问。一位叫 Bennett 的车主在版本号 2023.27.7 中发现服务设置中远程访问可关闭功能被远程激活。特斯拉远程控制指令包括解锁车门、启动汽车或在紧急情况下重置系统等操作。这引发了黑客可能入侵汽车远程控制方向盘和刹车的担忧。特斯拉的隐私政策也引发了关注，Mozilla 的研究发现，在保护客户数据上特斯拉是 25 家汽车厂商中最糟糕的。

趋势科技的 Zero Day Initiative（ZDI） 在 2023 年 9 月 7 日和 8 日向微软报告了 Microsoft Exchange 的 4 个 0day，攻击者可以利用漏洞远程执行任意代码或泄露敏感信息。对于这些漏洞的严重性微软提出质疑，该公司发言人表示其中一个漏洞已经在 8 月的安全更新中修复，另外三个漏洞需要攻击者先获得凭证，而且没有证据表明能被利用提权。微软表示这些漏洞没有达到需要立即修复的标准，他们会视情况而定在未来版本中评估修复。ZDI 对此不予认同，决定自己公开漏洞，以警告 Exchange 管理员注意安全风险。它承认漏洞确实需要获得凭证才能利用，但指出犯罪分子有很多方法窃取 Exchange 凭证，包括但不限于暴力破解弱密码、钓鱼攻击、收购等等。目前最主要的缓解漏洞利用的方法是避免凭证泄露。

加拿大政府宣布在在政府配发的移动设备上禁止使用微信和卡巴斯基软件套装。该禁令即日生效。加拿大政府是以保护政府信息和网络安全的理由做出这一决定。政府还将在这些设备上屏蔽微信和卡巴斯基的下载。加拿大官员表示，这些应用“对隐私和安全构成了不可接受的风险”。腾讯旗下的微信是中国最流行的社交软件之一，有逾十亿用户，在国外也有数以千万计的用户，但主要是华人使用。

研究人员披露了针对 Mac、iPad 和 iPhone 上 Safari 浏览器的瞬态执行旁路攻击，并将其命名为 iLeakage。利用 iLeakage，攻击者可以在用户浏览恶意网页时通过预测执行获取其它网页的敏感信息如密码。CPU 预测执行漏洞 Spectre 自六年前披露以来，虽然主要芯片供应商英特尔和 AMD 等公司采取了措施缓解漏洞，但新的漏洞利用仍然不断的被发现。iLeakage 利用的是苹果设备使用的 A 和 M 系列 CPU 的旁路漏洞，研究人员利用它成功恢复了 YouTube 观看历史记录和 Gmail 收件箱内容（登录状态下）以及密码管理器 LastPass 自动填充的 Instagram 密码。该漏洞预计影响所有苹果设备，苹果已经实现了缓解措施，但尚未默认启用，目前仅能在 macOS Ventura 13.0 以及更高版本中启用。

乌克兰黑客组织 KibOrg 和 NLB 声称成功入侵了俄罗斯最大的民营银行阿尔法银行（Alfa-Bank）。作为证据，他们在其博客上公布了阿尔法银行内部数据库的屏幕截图，以及多名俄罗斯人的私人信息。黑客称银行的数据库包含有逾 3000 万条记录，其中包括客户的姓名、出生日期、账号和电话号码。一位匿名的乌克兰情报官员表示情报机构 SBU 帮助黑客入侵了阿尔法银行。这位官员没有披露更多细节。黑客们表示将与调查记者分享从阿尔法银行获得的数据。