据外媒报道，近日发现了一种新的攻击方法——CacheWarp，会影响 AMD 处理器中存在的安全功能，可能对虚拟机造成风险。一组研究人员披露了一种影响 AMD 处理器中安全功能的新攻击方法的详细信息，展示了它可能对受保护的虚拟机 (VM) 造成的风险。CacheWarp 影响 AMD 安全加密虚拟化 (SEV)，这是一种 CPU 扩展，旨在在硬件级别将虚拟机与底层虚拟机管理程序隔离，使开发人员能够安全地部署虚拟机，即使虚拟机管理程序不受信任。

在11月14日软件制造商 Adobe 推出了大量安全修复程序，以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。作为预定周二补丁更新的一部分，Adobe 记录了 72 个不同的安全漏洞，并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。

云计算和虚拟化技术巨头VMware在11月14日紧急发布了一个紧急补丁，以解决影响其Cloud Director Appliance产品的身份验证绕过漏洞。该漏洞标记为 CVE-2023-34060，CVSS 严重性评分为 9.8（满分 10），可以被具有设备网络访问权限的恶意攻击者利用，在某些端口上进行身份验证时绕过登录限制。

据外媒报道，近日，美国网络安全和基础设施安全局 (CISA)、国家安全局 (NSA)联合其它部门，发布了关于保护软件供应链安全的新指南《保护软件供应链安全：关于软件物料清单 (SBOM) 使用的推荐实践》。该指南通过“持久安全框架 (ESF)”提供，为软件开发人员和供应商提供行业最佳实践和原则，包括管理开源软件和软件物料清单等，维护和了解软件安全。

中国财政部、国家网信办研究起草《会计师事务所数据安全管理暂行办法(征求意见稿)》(以下简称《办法》)并于11月13日公布。该《办法》旨在加强会计师事务所数据安全管理，规范会计师事务所数据处理活动。《办法》明确，财政部门、网信部门开展会计师事务所数据安全检查及重点检查内容。对于承接金融、能源、通信、交通、科技、国防科工等重要领域审计业务较多的会计师事务所，将开展全覆盖监督检查，并持续加强日常监管。

11月14日，北京市经济和信息化局指导中国信息通信研究院产业与其他机构联合编制、发布国内首个数据清洗、去标识化、匿名化处理相关流程方法的业务规程《数据清洗、去标识化、匿名化业务规程（试行）》，旨在指导行业主体组织开展数据清洗、去标识化、匿名化处理等及相应的技术测试评估，支撑数据共享、交易、开放等流通活动合规、有序进行。

近日，中国网络安全产业联盟(CCIA)数据安全工作委员会联合数据安全共同体计划、南都数字经济治理研究中心、对外经济贸易大学数字经济与法律创新研究中心、清律律师事务所共同发布《实施两周年观察报告》，围绕制度推进、行政执法、司法实践、公众感知等方面，多维度观察《个人信息保护法》实施两周年以来的主要进展。

据外媒报道，近日，美国防部“利马”工作组发布生成式人工智能临时指南，为美国防部及各军事部门正在进行和即将采用的新兴和颠覆性生成式人工智能技术提供建议。该指南供国防部内部使用，不会公开传播，但首席数字与人工智能办公室简要介绍了该指南的部分关键内容，包括风险评估与缓解、输入限制、问责制、引用等方面。

11月10日，Blackberry发布了关于BiBi-Linux Wiper的分析报告。研究人员之前曾在针对以色列公司的攻击中发现了新型擦除恶意软件BiBi-Linux Wiper，之后BlackBerry发现了一个针对Windows系统的变体，并称为BiBi-Windows Wiper。

据外媒11月14日报道，勒索团伙Medusa在周一声称他们攻击了Moneris，并给该公司9天的时间支付600万美元的赎金。Moneris是加拿大两家最大的银行创建的一家科技公司，它表示已成功抵御了最近的勒索攻击。关键数据没有被访问，也没有赎金要求。Moneris发言人说，确实有外部人员试图入侵Moneris的系统，但他们的团队对这一事件进行了全面的审计和分析，得出的结论是没有触发其数字丢失防护政策。

据外媒11月13日报道，黑客从加密货币交易平台Poloniex窃取了超过1亿美元，带走了价值数百万美元的比特币和以太坊。该平台在社交媒体上证实，它正在调查这起盗窃事件，并计划全额赔偿那些受到黑客攻击影响的人。Poloniex表示将向黑客支付被盗资金的5%作为赏金，希望其归还资金。Poloniex称他们的团队已成功识别并冻结了与黑客地址相关的部分资产。

11月10日外媒报道称，威胁行为者披露了一个包含Chess.com用户信息的抓取数据库。该数据库包含约828,327名用户。这起事件还涉及敏感信息的暴露。泄露的数据包括全名、用户名、个人资料链接、电子邮件地址、用户的原籍国、头像URL（个人资料图片）、通用唯一标识符（UUID）、用户ID和注册日期。

为保障《中华人民共和国反电信网络诈骗法》的贯彻实施，进一步建立健全联合惩戒制度，经充分调研论证，公安部会同有关主管部门起草了《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》，现向社会公开征求意见。公众可以通过公安部网站（www.mps.gov.cn）查阅公开征求意见稿。意见征集截止2023年12月12日，有关意见建议可通过电子邮件发送至gjfzzx@163.com。

据澳大利亚广播公司当地时间11月11日报道，由于发生网络安全事件，澳大利亚第二大港口运营商“澳大利亚环球港务集团”运营已经停摆。从10日开始，集团在墨尔本、悉尼、布里斯班等主要城市的港口货物运输受到严重影响。12日，集团表示，正在测试货运系统运行，港口何时恢复正常作业还不清楚。

近日，法律专家和技术专家敦促美国国会限制使用deepfake技术，并为妇女和少数族裔社区提供新的保护，防止使用数字操纵的媒体，他们警告说，欺骗性内容已经影响到国家安全、个人隐私和公众信任。

据外媒11月10日报道，VLC多媒体播放器中存在两个与内存损坏相关的安全漏洞。这些漏洞是在Microsoft Media Server（MMS）协议中发现的，该协议在VLC中有两种实现：MMS over TCP（MMST）和MMS over HTTP（MMSH），负责接收数据包的GetPacket函数被发现包含两个漏洞——堆溢出和整数下溢。目前这两个安全漏洞的CVE标识仍在等待分配，建议VLC用户升级到3.0.20版本，以修复这些漏洞并防止被攻击者利用。

据外媒报道称，近日，研究人员最近发现了一起网络钓鱼活动，攻击者向用户发送钓鱼邮件，其中包含指向DRACOON.team的链接，该网站提供文件共享服务。当受害者被诱导点击邮件中的链接时，他们将看到托管在DRACOON上的PDF文档。该文档中包含一个链接，会将受害者重定向至攻击者所控制的服务器，该服务器冒充Microsoft 365登录门户并充当反向代理，以窃取受害者的登录信息和会话cookie。研究人员认为攻击者使用的反向代理功能与EvilProxy网络钓鱼套件相关。

据外媒报道，近日，研究人员发现针对吉尔吉特-巴尔蒂斯坦地区的乌尔都语用户的攻击活动，攻击者在此次攻击活动中传播一种新型安卓恶意软件Kamran。该恶意软件在安装时请求多种权限，以允许其从设备中收集敏感信息，其中包括联系人、通话记录、日历事件、位置信息、文件、短信消息、照片、已安装应用程序列表和设备元数据。收集的数据将被上传到托管在Firebase上的命令和控制（C2）服务器。

11月10日，Kaspersky发布了关于Ducktail攻击活动的分析报告。Ducktail是一个恶意软件家族，自2021年下半年以来一直活跃，旨在窃取Facebook企业帐户。本报告分析了最近的一次活动，3月至10月上旬，主要针对营销专业人员。与以往依赖.NET应用程序的活动不同，这次活动使用了Delphi。该活动发送包含公司新产品图片和伪装成PDF的恶意可执行文件的文档，旨在传播新版本的Ducktail。

据外媒11月9日报道，CrowdStrike公开了Imperial Kitten针对中东地区运输、物流和科技公司的的新一轮活动。10月份，攻击者开始分发以“工作招聘”主题，包含恶意Excel附件的钓鱼邮件。打开后恶意宏代码会提取两个批处理文件，它们创建持久性并运行payload来进行反向shell访问。然后，攻击者使用PAExec等工具横向移动以远程执行进程，使用NetScan侦察网络，使用ProcDump从系统内存中获取凭据，使用自定义恶意软件IMAPLoader和StandardKeyboard与C2服务器通信。