微软本周二释出了一月份例行安全更新，共修复了 98 个漏洞，其中之一是正被利用的 0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的，是一个沙盒逃逸漏洞，能导致提权。成功利用该漏洞的攻击者能获得系统级权限，暂时不清楚攻击者如何利用该漏洞。98 个漏洞中有 39 个属于提权漏洞，33 个远程代码执行漏洞，10 个信息泄露和 10 个拒绝服务漏洞。

美国内政部在安全审计中发现，逾五分之一的密码可以用标准方法破解。审计人员获得了 85,944 名联邦雇员账户密码的哈希值，然后用包含 15 亿单词的字典进行暴力破解。结果成功破解了其中 18,174 个哈希值，占到了总数的 21%。其中 288 个账户具有高权限，362 个账户属于政府高级雇员。审计人员仅仅在 90 分钟内就破解了 16% 的哈希值。最常见的密码是 Password-1234，有 478 人使用；Br0nc0$2012，有 389 人使用；Password123$ | 318；Password1234 | 274；Summ3rSun2020! | 191；0rlando_0000 | 160；Password1234! | 150...

为丹麦央行以及该国金融业提供 IT 解决方案的 Bankdata 公司遭到了 DDoS 攻击，央行以及七家私人银行网站的访问受到干扰。DDoS 攻击通过将流量引导到目标网站以迫使其下线。丹麦央行的发言人表示，其网站周二下午访问正常，攻击没有影响到银行的其它系统或日常运作。Bankdata 的一位发言人表示，在受到 DDoS 攻击后，七家私人银行的网站访问周二短暂受限。受影响的银行包括丹麦最大的两家银行—— Jyske Bank 和 Sydbank。