公司新聞

【一周安全資訊0601】ISO/IEC JTC1/SC27網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)提案征集啟動(dòng);蘋果WiFi定位系統(tǒng)漏洞可監(jiān)控全球隱私

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-06-01    瀏覽次數(shù):
 

要聞速覽

1、中央網(wǎng)信辦等三部門印發(fā)《信息化標(biāo)準(zhǔn)建設(shè)行動(dòng)計(jì)劃 (2024—2027年)》

2、ISO/IEC JTC1/SC27網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)提案公開征集啟動(dòng)

3、GitLab 爆出安全漏洞,允許黑客接管賬戶

4、蘋果WiFi定位系統(tǒng)漏洞可監(jiān)控全球數(shù)億設(shè)備

5、俄羅斯最大快遞公司CDEK遭黑客攻擊,業(yè)務(wù)全面停擺

6、超6600名迪卡儂員工隱私信息被竊取


一周政策要聞

中央網(wǎng)信辦等三部門印發(fā)《信息化標(biāo)準(zhǔn)建設(shè)行動(dòng)計(jì)劃 (2024—2027年)》

為深入落實(shí)《“十四五”國家信息化規(guī)劃》、《國家標(biāo)準(zhǔn)化發(fā)展綱要》任務(wù)部署,近日,中央網(wǎng)信辦、市場(chǎng)監(jiān)管總局、工業(yè)和信息化部聯(lián)合印發(fā)《信息化標(biāo)準(zhǔn)建設(shè)行動(dòng)計(jì)劃(2024—2027年)》(以下簡稱《行動(dòng)計(jì)劃》),要求加強(qiáng)統(tǒng)籌協(xié)調(diào)和系統(tǒng)推進(jìn),健全國家信息化標(biāo)準(zhǔn)體系,提升信息化發(fā)展綜合能力,有力推動(dòng)網(wǎng)絡(luò)強(qiáng)國建設(shè)。

《行動(dòng)計(jì)劃》圍繞4個(gè)方面部署了主要任務(wù)。一是創(chuàng)新信息化標(biāo)準(zhǔn)工作機(jī)制,包括完善國家信息化標(biāo)準(zhǔn)體系、優(yōu)化信息化標(biāo)準(zhǔn)管理制度、強(qiáng)化信息化標(biāo)準(zhǔn)實(shí)施應(yīng)用。二是推進(jìn)重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)研制,在關(guān)鍵信息技術(shù)、數(shù)字基礎(chǔ)設(shè)施、數(shù)據(jù)資源、產(chǎn)業(yè)數(shù)字化、電子政務(wù)、信息惠民、數(shù)字文化、數(shù)字化綠色化協(xié)同發(fā)展等8個(gè)重點(diǎn)領(lǐng)域推進(jìn)信息化標(biāo)準(zhǔn)研制工作。三是推進(jìn)信息化標(biāo)準(zhǔn)國際化,包括深化國際標(biāo)準(zhǔn)化交流合作、積極參加國際標(biāo)準(zhǔn)組織工作、推動(dòng)國際國內(nèi)標(biāo)準(zhǔn)協(xié)同發(fā)展。四是提升信息化標(biāo)準(zhǔn)基礎(chǔ)能力,包括優(yōu)化標(biāo)準(zhǔn)供給結(jié)構(gòu)、加強(qiáng)標(biāo)準(zhǔn)化人才培養(yǎng)、推動(dòng)標(biāo)準(zhǔn)數(shù)字化發(fā)展。

信息來源:中華人民共和國國家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/29/c_1718573626260067.htm


ISO/IEC JTC1/SC27網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)提案公開征集啟動(dòng)

為繼續(xù)推進(jìn)我國網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)化工作,鼓勵(lì)更多網(wǎng)絡(luò)安全技術(shù)和應(yīng)用領(lǐng)域優(yōu)秀實(shí)踐經(jīng)驗(yàn)以及科研項(xiàng)目標(biāo)準(zhǔn)成果向國際輸出,網(wǎng)安標(biāo)委秘書處現(xiàn)組織開展SC27國際標(biāo)準(zhǔn)提案(以下簡稱“提案”)征集工作,面向網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)學(xué)研用等相關(guān)單位征集提案,提案優(yōu)先但不限人工智能安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)、密碼算法、物聯(lián)網(wǎng)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全、供應(yīng)鏈安全等我國具有技術(shù)優(yōu)勢(shì)和豐富實(shí)踐應(yīng)用經(jīng)驗(yàn)等領(lǐng)域。

有意單位請(qǐng)于2024年6月28日前提交紙質(zhì)和電子版材料至秘書處(liuzh1@cesi.cn),將按規(guī)定程序?qū)彶楹笊蠄?bào)國家標(biāo)準(zhǔn)委。

信息來源:全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)https://www.tc260.org.cn/front/postDetail.html?id=20240529170927


業(yè)內(nèi)新聞速覽

GitLab 爆出安全漏洞,允許黑客接管賬戶

近日,GitLab 又爆出一個(gè)安全漏洞(被追蹤為 CVE-2024-4835),未經(jīng)認(rèn)證的威脅攻擊者能夠利用該漏洞在跨站腳本 (XSS) 攻擊中,輕松接管受害者賬戶。

GitLab 是一個(gè)流行的基于網(wǎng)絡(luò)的 Git 存儲(chǔ)庫,擁有約 3000 萬注冊(cè)用戶和 100 萬付費(fèi)客戶。為了修復(fù)這個(gè)漏洞,GitLab 發(fā)布了 17.0.1、16.11.3 和 16.10.6 版本,并建議所有用戶立即升級(jí)。

CVE-2024-4835 是 VS 代碼編輯器(Web IDE)中的一個(gè) XSS 缺陷,盡管需要用戶交互,但攻擊者仍可能利用它來竊取信息。此外,GitLab 還修復(fù)了其他六個(gè)中等嚴(yán)重程度的安全漏洞,包括 CSRF 漏洞(CVE-2023-7045)和拒絕服務(wù)漏洞(CVE-2024-2874)。

GitLab 存儲(chǔ)了包括 API 密鑰和專有代碼在內(nèi)的敏感數(shù)據(jù),因此成為了攻擊者的目標(biāo)。一旦攻擊者成功插入惡意代碼,可能導(dǎo)致賬戶被劫持,引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

此前,CISA 曾發(fā)出警告,攻擊者正在利用 GitLab 的另一個(gè)漏洞 CVE-2023-7028 進(jìn)行攻擊。而 2023 年 5 月,GitLab 發(fā)布了 16.0.1 版來修復(fù)一個(gè)嚴(yán)重性路徑遍歷漏洞 CVE-2023-2825,該漏洞允許未經(jīng)認(rèn)證的攻擊者讀取任意文件。幸運(yùn)的是,這個(gè)漏洞只在特定條件下觸發(fā),即當(dāng)公共項(xiàng)目中的附件嵌套在至少五個(gè)組中。

消息來源:FREEBUFhttps://www.freebuf.com/news/401772.html


蘋果WiFi定位系統(tǒng)漏洞可監(jiān)控全球數(shù)億設(shè)備

近日,蘋果的Wi-Fi定位服務(wù)(WPS)被曝存在嚴(yán)重漏洞,這一漏洞可能被濫用以監(jiān)控全球用戶的隱私,即便非蘋果設(shè)備用戶也難以幸免。

美國馬里蘭大學(xué)的安全研究人員在論文《使用基于Wi-Fi的定位系統(tǒng)監(jiān)測(cè)人群》中詳細(xì)描述了蘋果WPS的設(shè)計(jì)缺陷。

根據(jù)論文描述,WPS定位主要有兩種工作方式:一是計(jì)算客戶端位置并返回這些坐標(biāo);二是返回提交的BSSID(基本服務(wù)集標(biāo)識(shí)符)的地理位置(與AP硬件相關(guān)聯(lián)),并讓客戶端進(jìn)行計(jì)算以確定其位置。

其中谷歌的WPS采用前者,安卓手機(jī)會(huì)記錄它能看到的BSSID及其信號(hào)強(qiáng)度,并將數(shù)據(jù)發(fā)送到谷歌服務(wù)器,服務(wù)器使用WPS數(shù)據(jù)庫計(jì)算手機(jī)的位置,并將其發(fā)送給手機(jī)。與谷歌的WPS相比,蘋果系統(tǒng)不僅返回請(qǐng)求的BSSID位置,還會(huì)額外返回多達(dá)400個(gè)附近BSSID的位置,且這一過程無需認(rèn)證、沒有速率限制,且完全免費(fèi)。

通過向蘋果WPS的API發(fā)送請(qǐng)求,研究人員能夠在一個(gè)月內(nèi)收集到超過十億個(gè)BSSID的位置數(shù)據(jù),并利用這些數(shù)據(jù)繪制出設(shè)備在全球范圍內(nèi)的移動(dòng)地圖。更令人擔(dān)憂的是,他們甚至利用這一漏洞追蹤了俄烏沖突區(qū)域的軍事設(shè)備移動(dòng)情況,充分展示了這一漏洞的嚴(yán)重性和潛在的危險(xiǎn)性。

消息來源:快科技  https://news.mydrivers.com/1/982/982398.htm


俄羅斯最大快遞公司CDEK遭黑客攻擊,業(yè)務(wù)全面停擺

近日,俄羅斯最大的快遞公司之一 CDEK 遭遇了網(wǎng)絡(luò)攻擊,這次攻擊導(dǎo)致該公司的服務(wù)中斷數(shù)日。

黑客組織“Head Mare”公開宣布對(duì)此次攻擊負(fù)責(zé),他們不僅利用勒索軟件加密了CDEK的服務(wù)器數(shù)據(jù),還銷毀了公司的系統(tǒng)備份,進(jìn)一步加劇了危機(jī)。盡管CDEK最初試圖將服務(wù)中斷歸咎于“大規(guī)模技術(shù)故障”,但隨后有內(nèi)部消息人士和俄羅斯國家杜馬信息政策委員會(huì)主席證實(shí),這實(shí)際上是一起由網(wǎng)絡(luò)攻擊造成的嚴(yán)重安全事件。黑客組織在X平臺(tái)上公開披露了攻擊細(xì)節(jié),批評(píng)CDEK的安全措施薄弱,并指責(zé)其系統(tǒng)管理員防御能力低下。CDEK公司表示,他們正在全力恢復(fù)服務(wù)。然而,由于攻擊造成的嚴(yán)重后果,公司面臨著巨大的挑戰(zhàn),包括如何恢復(fù)被加密的數(shù)據(jù)和重建被摧毀的系統(tǒng)。此外,CDEK的客戶也受到了嚴(yán)重的影響,許多人在社交媒體和媒體上發(fā)表評(píng)論,抱怨包裹投遞的延誤。

消息來源:安全內(nèi)參  https://www.secrss.com/articles/66611


超6600名迪卡儂員工隱私信息被竊取

據(jù)報(bào)道,最近發(fā)生的一起數(shù)據(jù)泄露事件導(dǎo)致迪卡儂西班牙員工的個(gè)人信息被盜。名為 888 的威脅行為者已承認(rèn)對(duì)迪卡儂數(shù)據(jù)泄露事件負(fù)責(zé),據(jù)稱該事件涉及一個(gè)包含這家著名體育用品零售商 6644 名員工敏感信息的數(shù)據(jù)庫。

據(jù)報(bào)道,該數(shù)據(jù)庫包含員工的電子郵件地址、總部信息和交通活動(dòng)。該聲明通過社交媒體平臺(tái) X(以前稱為Twitter)上的多篇帖子傳播,表明不僅員工信息,而且潛在的敏感客戶數(shù)據(jù)也可能被泄露。此外,威脅行為者還提供了迪卡儂泄露數(shù)據(jù)庫的樣本。

一旦確認(rèn)數(shù)據(jù)泄露,迪卡儂可能會(huì)失去客戶信任,進(jìn)而影響其銷售和整體市場(chǎng)地位。如果數(shù)據(jù)泄露被確認(rèn),迪卡儂還可能面臨巨額法律和經(jīng)濟(jì)處罰。

消息來源:安全客https://www.anquanke.com/post/id/296889


來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:2024年5月31日聚銘安全速遞

下一篇:網(wǎng)安標(biāo)委印發(fā)《網(wǎng)絡(luò)安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法(征求意見稿)》