10月9日，启明星辰VSRC监测到Exim发布安全公告，修复了Exim代码执行漏洞（CVE-2023-42115）。Exim在smtp 服务（默认侦听TCP 端口 25）中存在AUTH越界写入漏洞，可能导致写入超过缓冲区的末尾，未经身份验证的远程威胁者可利用该漏洞执行任意代码。目前漏洞已经修复，受影响用户可升级到Exim版本4.96.1或4.97-RC2。Exim建议用户定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

据外媒10月8日报道，大量Android电视盒中包含后门。网络安全公司HUMAN称其从在线零售商处购买的设备中，80%都感染了BADBOX。Badbox预装在Android电视盒中，设备插入后，恶意软件会与攻击者的C2服务器连接，全球至少有74000部基于Android的设备被感染。

据外媒10月6日报道，勒索软件团伙INC 声称入侵了美国联邦劳动关系局（FLRA），并且获取了29 GB文件。INC发言人拒绝提供有关其勒索软件的任何信息，但表示他们已经锁定了所有文件和备份。该团伙还提出了70万美元的赎金要求，但FLRA尚未对此做出任何回应。

近日，一家收购并出售零日漏洞的公司出价2000万美元（约合人民币1.46亿元），向安全研究人员购买黑客工具，帮助该公司的客户入侵iPhone和安卓设备。至少近十年以来，世界各地的各种公司一直向安全研究人员提供赏金，鼓励出售漏洞和利用这些漏洞的黑客技术。如此一来，零日市场已被割裂，受政治影响越来越大。

近日，新 Linux 漏洞“ Looney Tunables ”使本地攻击者能够通过利用 GNU C 库的 ld.so 动态加载程序中的缓冲区溢出漏洞来获得 root 权限。GNU C 库 (glibc) 是 GNU 系统的 C 库，存在于大多数基于 Linux 内核的系统中，提供了典型程序执行所需的基本功能。近年来，Qualys 研究人员发现了其他高严重性的 Linux 安全漏洞，这些漏洞使攻击者能够在许多 Linux 发行版的默认配置中获得 root 权限。

据外媒10月8日消息，由于第三方服务提供商的违规行为，Flagstar银行超过80万名美国客户的个人信息被网络犯罪分子窃取。Flagstar现从属于纽约社区银行旗下，总资产超过310亿美元。攻击者利用了MOVEit Transfer产品中的零日漏洞来访问Fiserv的系统，窃取了Flagstar客户数据。在示例数据泄漏通知信中，受损的数据类型已被编辑。缅因州的数据泄露门户网站上列出了被盗客户的姓名和社会安全号码（SSN）。

据外媒10月8日报道，GitHub宣布改进其秘密扫描功能，将有效性检查扩展到 AWS、Microsoft、Google 和 Slack 等流行服务。微软子公司日前已推出了有效性检查，针对 GitHub 令牌启用，可以提醒用户通过秘密扫描发现的暴露令牌是否处于活动状态。

10月7日，演员孙艺洲在微博发文称“收到快递是一张蟹卡，最后发现是诈骗。话题冲上热搜后，上海市公安局紧急发文提醒，称近日有不少市民都收到了大闸蟹兑换卡，扫码后却出现客服窗口发来进群邀请。这是新型骗局，不法分子大范围投递大闸蟹兑换卡、湿巾、手机支架等，以领奖为由，引导受害人扫码进群后实施刷单诈骗。市民应加强个人信息保护意识，避免泄露个人信息。

据外媒10月5日报道，B2B CRM 提供商Really Simple Systems遭遇数据安全事件。研究员发现该数据库包含超过3万条客户记录，并且无密码保护与安全认证。暴漏信息涉及据医疗记录、信用报告、身份证件、税务文件和法律文件等，影响了位于英国、美国、欧洲和澳大利亚的企业。目前，不安全的数据库已被保护起来，尚不清楚该数据库暴露的时间，以及是否有人访问过它。

10月7日，国家密码管理局发布了《商用密码应用安全性评估管理办法》，对依法应当使用商用密码进行保护的重要网络与信息系统，明确要求同步规划、同步建设、同步运行商用密码保障系统，并定期进行商用密码应用安全性评估，并明确了商用密码应用安全性评估活动的实施依据。自2023年11月1日起与《商用密码检测机构管理办法》同步实施。

  据媒体10月6日报道，哥伦比亚特区选举委员会(DCBOE)正在调查一起数据泄露事件，涉及未知数量的选民信息。调查显示，攻击者通过选举机构的托管提供商DataNet的服务器访问了这些信息，但DCBOE的内部数据库和服务器并未受到攻击。目前，DCBOE的网站已关闭并显示维护页面。选举委员会与数据安全专家、联邦调查局 （FBI） 和国土安全部 （DHS） 合作，对其内部系统进行了全面的安全评估。

10月6日，英国信息专员办公室（ICO）已向Snap发出关于其AI聊天机器人“My AI”的初步执法通知。原因是其未能充分评估“My AI”对儿童所构成的隐私威胁。据权威机构新闻稿称，如果最终执行通知被采纳，ICO可能会要求Snap停止处理与英国“My AI”相关的数据。

近日，来自Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd和趋势科技等多个组织的数十位网络安全专家联名签署并发表了一封公开信，反对欧盟《网络韧性法案》中关于“漏洞利用后24小时内披露”的要求，信中指出：“CRA没有限制通过其披露的漏洞的攻击性用途，几乎所有欧盟成员国都没有透明的监督机制，这为潜在的滥用打开了大门。”目前，该法案正在由欧盟的共同立法者制定中。

外媒10月6日报道，云计算提供商Blackbaud与美国49个州的司法部长达成了4950万美元的和解协议，以解决因2020年5月的勒索攻击事件引发的数据泄露事件。该事件影响了数百万用户，攻击者窃取了用户未加密的银行信息、登录凭证和社会安全号码，Blackbaud因此违反州消费者保护法、通知法规以及健康保险流通与责任法案(HIPAA)而面临指控。

10月7日，国家密码管理局官方发布了《商用密码检测机构管理办法》（国家密码管理局令第2号），自2023年11月1日起开始施行。《办法》共29条，根据商用密码检测机构管理现实需要，规定适用范围并明确监管体制，对检测机构资质认定、从业规范、监督管理等提出明确要求。

外媒10月5日称，为60多个国家提供移动电信和语音IP(VoIP)服务的英国电信公司Lyca Mobile遭到网络攻击导致其服务意外中断，可能还会危及客户数据。此事件影响了除美国、澳大利亚、乌克兰和突尼斯之外的所有国家。Lyca称其首要任务是确保客户数据的安全，目前正在调查是否有个人信息泄露，并表示所有记录都是完全加密的。

据外媒消息，研究人员正在跟踪使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击活动。Meta于 2023 年 1 月发现基于 JavaScript 开发的恶意软件NodeStealer，本次发现的攻击行动是 NodeStealer 的新变种，其意图仍然是入侵 Facebook 企业账户。与此前的 NodeStealer 版本不同的是，该版本的 NodeStealer 还会窃取所有的可用的凭据与 Cookie。

外媒10月5日消息，索尼证实今年遭遇两次重大数据泄露，可能导致大量个人信息泄露。第一次数据泄露由Clop勒索软件集团通过MOVE it Transfer平台中的零日漏洞发起，索尼在发现攻击后暂时断网并修复了相关漏洞，但已经导致美国6791人的个人信息被泄露。第二次数据泄露勒索攻击组织窃取了超过3.14GB包含大量用户详细信息的数据，目前调查仍在继续当中。

据外媒10.4日报道，Google 将从 2024 年起为电子邮件发件人引入新的指南，以便 加强 安全 Gmail 电子邮件并防止网络钓鱼诈骗和恶意软件传递。 公司将要求用户发送 群发电子邮件时，验证他们的电子邮件并遵守更严格的标准以避免垃圾邮件。如果他们的垃圾邮件率超过0.3%，他们可能会面临邮件无法正常投递或被拦截的风险。这些要求旨在提高Gmail用户的安全性和满意度，同时阻止数十亿的恶意邮件。

据媒体10月4日报道，Apple发布了紧急安全更新，来修复影响iPhone和iPad的已被利用漏洞。这是存在于内核中的权限提升漏洞（CVE-2023-42824），iOS 16.6之前的版本都可能受此漏洞的影响，尚未公布攻击者身份。此外，此次更新还修复了WebRTC中的缓冲区溢出漏洞（CVE-2023-5217），可能导致任意代码执行。