【10.21】安全帮®每日资讯：TikTok设立漏洞奖励计划，奖金标准为抖音的7倍；微软启动针对Chromium的零日漏洞计划

由于微软操作系统在处理 HEVC 文件方式上存在漏洞，那些使用 Windows 设备的 iPhone 用户在浏览和编辑视频文件的时候存在被黑客远程攻击的风险。该漏洞于上周被发现，存在于微软的 Windows Codecs Library 中，能接管未修复的设备并执行远程代码。美国网络安全和基础设施安全局已于上周五将威胁标记为“威胁”。

参考来源：

http://hackernews.cc/archives/32692

近日， Adobe官方发布了 CVE-2020-24407 Magento 远程代码执行漏洞通告。近日 Adobe 官方发布安全公告披露了在 Magento Commerce/Open Source 2.3 以及 2.4 版本中存在 CVE-2020-24407 远程代码执行、CVE-2020-24400 SQL注入等多个漏洞。在具有管理特权的情况下，攻击者可构造恶意请求，绕过文件上传限制，从而造成远程代码执行，控制服务器。

参考来源：

https://nosec.org/home/detail/4592.html

臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中，该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发，并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法，在这些电子邮件中包含恶意的 Word/Excel 文档，或者下载链接。当用户点击之后，附件会提示用户“启用内容”从而允许宏命令运行，从而安装 Emotet 木马程序。

参考来源：

https://www.cnbeta.com/articles/tech/1042685.htm