FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.思科警告：这些运行IOS的路由器具有9.9 / 10严重安全漏洞

思科已经披露了十二个高严重性漏洞，这些漏洞影响了广泛部署的Cisco IOS和IOS XE网络自动化软件，其中包括一个影响其工业路由器和网格路由器的讨厌软件。该公司还警告客户禁用具有公开利用代码的IOS中的L2跟踪路由功能。[外刊-阅读原文]

2.Deepfake视频鉴别战：谷歌发数据集，脸书斥资千万办比赛

谷歌25日宣布已生成大量机器合成的视频，并将其合并到了慕尼黑工业大学等机构的人脸篡改取证（FaceForensics）基准中。研究人员可以免费使用该基准，以开发合成视频检测技术。这是继本月初脸书的Deepfakes鉴别挑战赛后，科技巨头又一为Deepfake检测采取的措施。[阅读原文]

3.Vodafone移动应用短暂地泄露了客户信息

据外媒报道，在本星期三早上的一小段时间内，使用移动运营商的应用程序的新西兰沃达丰客户可以看到其他客户的详细信息。该应用程序旨在管理Vodafone帐户，并提供对账单或现用服务的快速访问。它还提供有关其他国家/地区的通话费率、奖励积分、促销和数据计划的信息。[外刊-阅读原文]

4.Outlook网页版阻止带PowerShell，Python等文件扩展名附件下载

Microsoft不久后将阻止38个文件扩展名作为附件在Outlook网页版中下载，以保护用户免受恶意文件的侵害。这些附加扩展包括Java、PowerShell、Python和各种漏洞使用的文件。[外刊-阅读原文]

5. 全球“黑客大赛”冠军霸气讲述：我是如何让50个文件一起骗过AI安防系统的？

网络安全平台Endgame，MRG-Effitas和VM-Ray在近日联手发起了一场“黑客征集”大赛。号召机器学习工程师们一起来攻击他们的安防系统。比赛的目标是，让50个恶意Windows可移植可执行文件（PE）逃避三个机器学习恶意软件分类器的检测。这些文件不仅需要躲避检测，而且还能实现它们原来的功能和行为。[阅读原文]

6. Vimeo因生物识别技术隐私权被抨击

Vimeo涉嫌在未经用户同意或不知情的情况下，在视频和照片中收集和存储用户的面部生物特征而受到抨击。该诉讼于9月20日提起，声称Vimeo违反了《伊利诺伊州生物识别信息隐私法》（BIPA）。[外刊-阅读原文]

7.Microsoft默认在New Edge Beta中启用跟踪预防

Microsoft发布了Microsoft Edge Beta通道的第一个更新，该更新将Web浏览器添加到78.0.276.8版本，默认情况下启用了跟踪预防功能，并添加了新的登录和同步功能。Microsoft Edge内置的跟踪预防旨在保护用户在浏览网页时不会被其直接访问的网站跟踪。[外刊-阅读原文]

【安全事件】

1.一测试成绩查询网的开发者被指将考生数据直接写在源码里

近日程序员圈子里突然被陕西普通话等级查询网刷屏。当该网站的源代码被打码截图发出后无疑引起无数程序员震惊，这个网站竟然把所有考生数据直接写在源代码里，也就是任何人不需要经过任何验证直接查看源代码即可访问考生信息，无数码农吐槽这个网站的程序员不负责任。[阅读原文]

2.12月1日起实体渠道办理电话入网将实施人像比对技术

据工业和信息化部官方微信公众号消息，近期工业和信息化部办公厅印发了《关于进一步做好电话用户实名登记管理有关工作的通知》，指导电信企业开展电话用户实名登记工作。通过人像对比技术、防范治理二次倒卖电话卡和提供查询名下手机号码等方式来推进电话用户实名登记管理，维护公民在网络空间的合法权益。[阅读原文]

3. 滴滴：配合警方办理黑产案20宗 抓捕279名犯罪嫌疑人

滴滴昨日上线第五期有问必答，重点聚焦司机和乘客关心的作弊问题。2019年以来，滴滴已配合全国警方办理黑产案件20宗，抓捕279名犯罪嫌疑人；联合第三方平台处理了549件作弊器与其他违规服务商品，封禁了707个黑产传播账号；对使用作弊器的8万多人次司机不同程度地停止服务。[阅读原文]

4. 微软IE浏览器存在远程代码执行漏洞，攻击者可借此控制系统

微软向用户警告广受欢迎的Internet Explorer存在一个高危的漏洞，攻击者利用此漏洞可以接管你的计算机，进而在你的电脑安装和卸载程序，查看、更改或删除数据，甚至创建具有完全用户权限的新帐户。[阅读原文]

5. 百度：已为超过3万家公立医院、14.5万个词条提供保护

据百度官方微信公众号消息，目前，百度已经为超过3万家公立医院、14.5万个词条（全称词、简称词、俗称词、变体词）提供保护，覆盖率高达99%。现在全国各地对于公立医院的信息反馈仍在持续，最多时达到每天处理150个词条。[阅读原文]

6. 网络钓鱼利用Google的URL解码绕过防御

近日利用Google即时解码非ASCII URL数据功能的网络钓鱼活动正在开展，试图通过有效隐藏广告活动的网络钓鱼页面来欺骗人们。此次活动使用了所谓的基于百分比的URL编码。[外刊-阅读原文]

【优质文章】

1.网络战的战术实践与战略思考

网络战是近年来的国际热点问题之一。如俄罗斯黑客干涉美国大选和美国攻击委内瑞拉电网这样的网络攻击事件在新闻媒体上频频曝光，并引起了社会各界的普遍关注。实际上， 除民间网络安全领域外，各国军方对网络战这一新的战争形式同样高度关切，并投入了很大的力量，试图占领网络战这一未来战争的制高点。[阅读原文]

2. WitAwards 2019年度最受欢迎安全雇主评选

2018年我国网络安全市场规模为393.25亿元，同比增长率约为17.8%，预计未来三年产业整体市场依然会保持20%左右的高速增长，到2021年我国网络安全市场规模将达到668.05亿元。[阅读原文]

3.分享一次应急响应简述

几周前接到某单位管理人员电话，说单位某系统受到攻击，现系统已瘫痪，随后简单问了一下网络情况，就匆匆赶往客户现场。通过电话了解到的大致内容为：该系统已处于瘫痪状态、系统属于内网未对互联网开发端口、操作系统为Windows server 2008、已做断网处理。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。