行業(yè)動(dòng)態(tài)

【一周安全資訊0824】兩部門印發(fā)《全國重點(diǎn)城市IPv6流量提升專項(xiàng)行動(dòng)工作方案》;麻省理工首發(fā)AI風(fēng)險(xiǎn)管理數(shù)據(jù)庫

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-08-24    瀏覽次數(shù):
 

要聞速覽

1、兩部門印發(fā)《全國重點(diǎn)城市IPv6流量提升專項(xiàng)行動(dòng)工作方案》

2、《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》出臺(tái)

3、麻省理工首發(fā)AI風(fēng)險(xiǎn)管理數(shù)據(jù)庫,全面覆蓋777種風(fēng)險(xiǎn)

4、攻擊手法罕見!ESET披露最新網(wǎng)絡(luò)釣魚活動(dòng)

5、WPS曝出兩個(gè)嚴(yán)重漏洞 已被武器化且在野利用

6、豐田再發(fā)數(shù)據(jù)泄露事件,涉及240GB員工和客戶信息


一周政策要聞

兩部門印發(fā)《全國重點(diǎn)城市IPv6流量提升專項(xiàng)行動(dòng)工作方案》

貫徹落實(shí)中央網(wǎng)信委決策部署,按照《深入推進(jìn)IPv6規(guī)模部署和應(yīng)用2024年工作安排》要求,中央網(wǎng)信辦、工業(yè)和信息化部組織開展全國重點(diǎn)城市IPv6流量提升專項(xiàng)行動(dòng),覆蓋北京市、天津市、上海市、深圳市、杭州市、合肥市、無錫市、煙臺(tái)市等8個(gè)重點(diǎn)城市。為此,近日兩部門印發(fā)《全國重點(diǎn)城市IPv6流量提升專項(xiàng)行動(dòng)工作方案》,旨在敦促相關(guān)單位抓好貫徹執(zhí)行,加強(qiáng)統(tǒng)籌協(xié)調(diào),壓實(shí)工作責(zé)任,按期保質(zhì)完成專項(xiàng)行動(dòng)目標(biāo)任務(wù),有效發(fā)揮示范引領(lǐng)作用,帶動(dòng)全國IPv6發(fā)展水平再上新臺(tái)階。

信息來源:中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室https://www.cac.gov.cn/2024-08/21/c_1725925496508880.htm


《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》出臺(tái)

據(jù)了解,近日證監(jiān)會(huì)在系統(tǒng)內(nèi)印發(fā)了《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》,以規(guī)定證券期貨業(yè)信息系統(tǒng)的信創(chuàng)分類方法。信息系統(tǒng)分類采用層次劃分法,共分三層。層層細(xì)分,逐級(jí)細(xì)化,形成清晰的信息系統(tǒng)分類結(jié)構(gòu),并對每個(gè)技術(shù)功能域是否為核心功能域進(jìn)行說明。

推出《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》旨在加快構(gòu)建證券期貨業(yè)信息技術(shù)應(yīng)用創(chuàng)新標(biāo)準(zhǔn)體系,提升行業(yè)信創(chuàng)工作中信息系統(tǒng)分類的規(guī)范化水平。

消息來源:期貨日報(bào)  http://www.qhrb.com.cn/articles/328221


業(yè)內(nèi)新聞速覽

麻省理工首發(fā)AI風(fēng)險(xiǎn)管理數(shù)據(jù)庫,全面覆蓋777種風(fēng)險(xiǎn)

日前,麻省理工學(xué)院(MIT)的研究團(tuán)隊(duì)發(fā)布了一個(gè)名為“人工智能風(fēng)險(xiǎn)庫”的動(dòng)態(tài)數(shù)據(jù)庫,匯集了777個(gè)與人工智能(AI)相關(guān)的潛在風(fēng)險(xiǎn),其目標(biāo)是提供一個(gè)易于訪問和定期更新的風(fēng)險(xiǎn)概覽。

這個(gè)數(shù)據(jù)庫從43個(gè)分類法中提取信息,將AI風(fēng)險(xiǎn)分為“因果分類”和“七個(gè)不同領(lǐng)域”兩個(gè)維度,旨在為AI治理提供全面的知識(shí)基礎(chǔ)。盡管該數(shù)據(jù)庫存在一些局限性,如僅限于43個(gè)分類中的風(fēng)險(xiǎn),可能缺少新興或特定領(lǐng)域的風(fēng)險(xiǎn),但它仍然是目前最全面、系統(tǒng)的AI風(fēng)險(xiǎn)匯編之一。研究團(tuán)隊(duì)在摘要中指出,這是“首次嚴(yán)格策劃、分析和提取人工智能風(fēng)險(xiǎn)框架,形成一個(gè)公開可訪問、全面、可擴(kuò)展和分類的風(fēng)險(xiǎn)數(shù)據(jù)庫”。

這個(gè)數(shù)據(jù)庫的發(fā)布標(biāo)志著AI風(fēng)險(xiǎn)管理進(jìn)入了一個(gè)新階段。它不僅為研究人員和政策制定者提供了寶貴的參考資源,也為企業(yè)和組織在開發(fā)和部署AI系統(tǒng)時(shí)提供了重要的風(fēng)險(xiǎn)評估工具。

消息來源:GoUpSechttps://baijiahao.baidu.com/s?id=1807966111642317189&wfr=spider&for=pc


攻擊手法罕見!ESET披露最新網(wǎng)絡(luò)釣魚活動(dòng)

最近,研究人員發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)釣魚活動(dòng),可巧妙利用漸進(jìn)式網(wǎng)絡(luò)應(yīng)用(PWA)技術(shù)針對安卓和iPhone用戶發(fā)起攻擊,使得即便被認(rèn)為相對安全的iOS平臺(tái)用戶也難以防范。

ESET研究人員通過一個(gè)針對一家知名捷克銀行客戶的案例對此攻擊進(jìn)行分析。攻擊者結(jié)合自動(dòng)語音電話、短信和社交媒體惡意廣告?zhèn)鞑メ烎~鏈接。在安卓設(shè)備上,這種技術(shù)悄悄安裝一種特殊類型的APK(稱為WebAPK),看起來像是從Google Play商店安裝的正常應(yīng)用。對于iOS用戶,釣魚網(wǎng)站會(huì)誘導(dǎo)受害者將PWA添加到主屏幕。這一釣魚活動(dòng)之所以能夠成功,正是由于PWA技術(shù)的應(yīng)用。PWA是使用傳統(tǒng)網(wǎng)絡(luò)應(yīng)用技術(shù)構(gòu)建的應(yīng)用,能夠在多個(gè)平臺(tái)和設(shè)備上運(yùn)行。WebAPK是PWA的升級(jí)版,安裝WebAPK 時(shí)不會(huì)出現(xiàn)“來自不受信任來源的安裝”警告,即使用戶未允許從第三方來源安裝,應(yīng)用仍然會(huì)被安裝。無論是在安卓還是iOS上,這些釣魚應(yīng)用與真實(shí)銀行應(yīng)用幾乎無法區(qū)分。目前,大多數(shù)已知案例發(fā)生在捷克,只有少數(shù)出現(xiàn)在匈牙利和格魯吉亞。ESET已迅速將發(fā)現(xiàn)的敏感信息通報(bào)給受影響的銀行,并協(xié)助關(guān)閉了多個(gè)釣魚域名和C&C服務(wù)器。

消息來源:FREEBUF  https://www.freebuf.com/news/409102.html


WPS曝出兩個(gè)嚴(yán)重漏洞 已被武器化且在野利用

快科技8月20日消息,WPS Office近日被ESET披露存在兩個(gè)高危安全漏洞,編號(hào)分別為CVE-2024-7262和CVE-2024-7263,CVSS評分高達(dá)9.3。

鑒于漏洞的嚴(yán)重性,建議所有WPS用戶立即升級(jí)到最新版本(12.2.0.17153或更高版本)。安全研究人員發(fā)現(xiàn)CVE-2024-7262漏洞已被利用,攻擊者通過分發(fā)帶有惡意代碼的電子表格文檔來觸發(fā)該漏洞,實(shí)現(xiàn)“單擊即中”的遠(yuǎn)程代碼執(zhí)行攻擊,可能導(dǎo)致數(shù)據(jù)失竊、勒索軟件感染或更嚴(yán)重的系統(tǒng)破壞。漏洞位置均在WPS Office的promecefpluginhost.exe組件中,由于不恰當(dāng)?shù)穆窂津?yàn)證,攻擊者能夠加載并執(zhí)行任意的Windows庫文件。盡管金山軟件針對CVE-2024-7262發(fā)布了補(bǔ)丁版本12.2.0.16909,但很快被發(fā)現(xiàn)修復(fù)不徹底,CVE-2024-7263漏洞利用了修復(fù)過程中忽略的參數(shù),使攻擊者能夠繞過安全措施。除了更新軟件版本外,用戶近期最好不打開來源不明的文件,尤其是可能含有惡意代碼的電子表格和文檔。此外還有未經(jīng)證實(shí)的消息表示,可能只有WPS國際版受到影響,國內(nèi)版本或不受影響,但出于安全考慮,還是建議升級(jí)到最新版本。
消息來源:快科技https://baijiahao.baidu.com/s?id=1807869653848240812&wfr=spider&for=pc


豐田再發(fā)數(shù)據(jù)泄露事件,涉及240GB員工和客戶信息

據(jù)BleepingComputer消息,一名黑客在論壇上發(fā)帖稱自己從豐田美國分公司竊取的240GB數(shù)據(jù),豐田官方隨后表示這一情況屬實(shí)。

根據(jù)這名黑客的描述,這些數(shù)據(jù)不僅涉及豐田員工和客戶的信息,還包括合同和財(cái)務(wù)信息,并通過AD-Recon搜集了更多類型的數(shù)據(jù)。

雖然豐田沒有透露這次數(shù)據(jù)泄露的日期,以及黑客是通過何種方式入侵并竊取了多少人的數(shù)據(jù),但 BleepingComputer 發(fā)現(xiàn)這些文件被至少是在 2022 年 12 月 25 日創(chuàng)建的。這個(gè)日期可能表明,攻擊者訪問了存儲(chǔ)數(shù)據(jù)的備份服務(wù)器。

豐田表示,這次事件不是系統(tǒng)范圍的問題,影響程度有限,并正在與受影響的人員保持接觸以提供必要的幫助。

消息來源:FREEBUFhttps://www.freebuf.com/news/409015.html


來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:2024年8月23日聚銘安全速遞

下一篇:中央網(wǎng)信辦等十部門秘書局(辦公廳、綜合司)聯(lián)合印發(fā)《數(shù)字化綠色化協(xié)同轉(zhuǎn)型發(fā)展實(shí)施指南》