日本最大的财产和意外事故保险公司Tokio Marine披露，该公司新加坡分公司遭遇了勒索软件袭击，它没有宣布攻击何时发生，也没有宣布调查人员何时发现违规行为。该公司表示，目前还没有任何迹象表明客户信息被泄露，仍在努力确定受损的范围，并已聘请外部供应商提供帮助。迄今为止，该公司已采取信息安全保障措施，并将努力进一步保护其客户信息和机密信息。该公司表示已隔离受影响的网络，并通知当地执法部门。

https://www.cyberscoop.com/tokio … re-cyber-insurance/

Adobe发布了安全更新，以解决影响流行图像处理软件Photoshop的两个关键安全漏洞，跟踪为CVE-2021-36065和CVE-2021-36066，CVE-2021-36065是基于堆的缓冲区溢出漏洞，而CVE-2021-36066是越界写入漏洞，两者的CVSS评分均为 7.8。这些漏洞会影响Windows和macOS的软件版本，它们的利用可能会导致在当前用户的上下文中执行任意代码。该漏洞影响Photoshop 2020 21.2.10及更早版本和Photoshop 2021 22.4.3及更早版本。

https://securityaffairs.co/wordp … hotoshop-flaws.html

近日，Fortinet的web应用防火墙(WAF)平台FortiWeb暴露出一个未修补的操作系统命令注入安全漏洞。研究人员表示，它可以允许权限提升和全面接管设备。该漏洞(CVE待定)存在于FortiWeb的管理界面(版本6.3.11和更早的版本)，其CVSSv3基础评分为8.7(满分10分)，严重程度为高。发现该漏洞的研究员表示，它可以允许远程的、经过身份验证的攻击者通过SAML服务器配置页面在系统上执行任意命令。

https://threatpost.com/unpatched … l-takeovers/168764/

黑莓本周通知客户，QNX嵌入式操作系统受到BadAlloc漏洞的影响，导致任意代码执行或拒绝服务。黑莓透露QNX RTOS受到BadAlloc漏洞的影响，该漏洞被追踪为CVE-2021-22156（CVSS 评分为 9.0）。据黑莓称，该漏洞影响QNX软件开发平台(SDP)6.5.0SP1及更早版本、符合 IEC 61508 和/或 ISO 26262 的 QNX for Safety 1.0.1 及更早版本安全产品，以及QNX for Medical 1.1及更早版本符合IEC 62304的安全产品。该公司已发布受影响产品清单。黑莓已发布软件更新来修补漏洞，敦促所有QNX SDP、QNX OS for Safety和QNX OS for Medical客户立即更新他们的产品。

https://www.securityweek.com/bad … rys-qnx-embedded-os
BlackBerrys QNX.pdf (175.24 KB, 下载次数: 0)

美国监察长办公室(OIG)在最近的一份报告中披露，黑客于2020年1月11日入侵了美国人口普查局的服务器，他们利用了Citrix ADC 0day漏洞。这些服务器的目的是向该局提供远程访问能力，使其企业工作人员能够访问生产、开发和实验室网络，然而这些服务器并未提供对 2020 年人口普查网络的访问。据OIG称，该局未能缓解攻击中利用的关键漏洞，导致其服务器易受攻击。在其服务器被攻陷后，该局也未能及时发现和报告攻击，还没有维护足够的系统日志，阻碍了事件调查。

https://www.bleepingcomputer.com … ing-citrix-exploit/

研究人员最近收到了来自银行的短信通知，称其信用卡账户可能有欺诈行为，在等待代理接听电话时，研究人员浏览了Facebook，寻找他们的支持页面。研究人员发现两页看起来几乎一模一样。区别在于合法页面上的验证徽章和关于信息。令人惊讶的是，这个欺诈页面甚至有一个聊天机器人，在开始对话之前问候客户，这让受害者相信你在与银行的合法社交媒体页面对话。

https://www.cyren.com/blog/artic … fake-facebook-pages