一周网安动态
Weekly Network Security
2023-05-15 周一
20230508-20230514
LEISHI
# 内容预览 #
政策法规
1、公路水路关键信息基础设施安全保护管理办法》公布,6月1日起施行
2、信安标委发布2023年度第一批网络安全国家标准需求(附清单)
3、工信部通报!这56款APP(SDK)存在侵害用户权益行为
4、中国信通院联合发布《数控机床网络安全研究报告(2023年)》(附下载)
安全事件
1、大事件!网信工作组入驻斗鱼平台
2、谷歌IO开发者大会官宣:发布全新隐私、安全功能!
3、2023年4月全国受理网络违法和不良信息举报1761万件
4、APP、小程序个人信息保护调查!拒绝授权,九成多不能正常用
5、全球最大规模AI黑客大赛将开启:白宫支持 针对大模型安全
6、美政府对 AI 不放心,OpenAI CEO 将首次赴国会作证
7、虚假的Windows 更新正用来传播Aurora 信息窃取恶意软件
8、GitHub 可自动阻止存储库的令牌和 API 密钥泄漏
漏洞情报
1、GitLab代码执行漏洞(CVE-2023-2478)安全风险通告
2、Linux Kernel 权限提升漏洞安全风险通告
3、微软2023年5月补丁日多个产品安全漏洞风险通告
4、Win32k 特权提升漏洞
5、Windows MSHTML Platform安全特性绕过漏洞安全风险通告
6、宏景eHR SQL注入漏洞安全风险通告
7、泛微 E-Office 命令注入和任意文件上传漏洞
# 政策法规 #
01
《公路水路关键信息基础设施安全保
护管理办法》公布,6月1日起施行
近日,交通运输部公布了《公路水路关键信息基础设施安全保护管理办法》(简称《管理办法》),共6章33条,自今年6月1日起施行,切实保障公路水路关键信息基础设施安全,维护网络安全。
详情点击:
02
信安标委发布2023年度第一批网
络安全国家标准需求(附清单)
详情点击:
03
工信部通报!这56款APP(SDK)
存在侵害用户权益行为
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,我部组织第三方检测机构对群众关注的实用工具、休闲娱乐及短视频等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查。发现56款APP(SDK)存在侵害用户权益行为(详见附件),现予以通报。
详情点击:
04
中国信通院联合发布《数控机床网络
安全研究报告(2023年)》(附下载)
数控机床作为制造业的“工作母机”,是工业领域生产加工的关键设备,数控机床本身的安全性以及在应用过程中的网络安全防护能力直接影响工业生产和业务。随着工业互联网的快速发展,数控机床打破原有的封闭性,实现互联互通已成为企业发展的必然要求,数控机床联网运行已成为趋势,如何保证数控机床联网运行的网络与数据安全逐渐成为制约工业互联网发展的关键问题之一。
报告以工业互联网背景下数控机床的发展为基础,从数控机床国内外政策、安全技术研究、技术标准规范等方面分析了数控机床的网络安全现状。报告详细分析了数控机床存在的漏洞隐患、入侵攻击等网络安全风险及深层次原因,并给出安全防护实施方案建议。最后,报告从标准、技术研究、评估评测等方面提出数控机床网络安全未来的工作方向。
详情点击:
# 安全事件 #
01
大事件!网信工作组入驻斗鱼平台
5月8日晚,中央网信办官网发布消息称,针对斗鱼平台存在的色情、低俗等严重生态问题,国家互联网信息办公室指导湖北省互联网信息办公室派出工作组,进驻斗鱼平台开展为期1个月的集中整改督导。
一时间引起业内人士的广泛关注,毕竟上一次网信部门工作组入驻的企业还是滴滴。很明显,斗鱼擦边颇为疯狂,引发了网信部门的高度关注。
消息来源:
02
谷歌IO开发者大会官宣:
发布全新隐私、安全功能!
今天,谷歌在一年一度的开发者大会Google I/O上发布了一系列新的隐私、安全和安全功能。最新举措旨在保护其用户免受网络威胁,包括网络钓鱼攻击和恶意网站,同时让他们的个人数据更具可控性和透明度。
此次新引入的功能有:改进数据控制和透明度、Gmail暗网扫描报告、毫不费力地删除地图搜索历史、人工智能安全浏览、内容安全API扩展、关于本图片、垃圾邮件视图在谷歌驱动器。在这些新推出的功能中,最先改进的是数据控制和透明度。此外,谷歌还表示,它将把暗网报告的范围扩大到美国所有拥有Gmail账户的用户,这样只要他们的敏感数据在这些网站上传播时就会主动发出警报。
消息来源:
03
2023年4月全国受理网络违
法和不良信息举报1761万件
2023年4月,中央网信办举报中心指导全国各级网信举报工作部门、主要网站平台受理网民举报色情、赌博、侵权、谣言等违法和不良信息1761万件,环比增长5.4%、同比增长9.9%。其中,中央网信办举报中心受理举报74.2万件,环比增长67.5%、同比增长46.7%;各地网信举报工作部门受理举报49.7万件,环比下降32.8%、同比下降38.3%;全国主要网站平台受理举报1637.1万件,环比增长5.5%、同比增长11.2%。在全国主要网站平台受理的举报中,主要商业网站平台受理量占45.3%,达741.3万件。
消息来源:
04
APP、小程序个人信息保护调查!
拒绝授权,九成多不能正常用
5月9日,四川省保护消费者权益委员会公布消费者个人信息保护情况调查报告。调查显示,超五成受访者不了解《中华人民共和国个人信息保护法》内容,超七成受访者认为个人信息曾被泄露,受访者最担心社交账号被泄露;“安全隐私协议”被忽视,拒绝非必要授权后九成应用程序限制使用;个人信息保护还待加强。调查回收有效问卷3726份。
消息来源:
05
全球最大规模AI黑客大赛将开
启:白宫支持针对大模型安全
美国白宫在上周四宣布,OpenAI、谷歌、Antrhopic、Hugging Face、微软、英伟达与Stability AI等顶尖人工智能提供商,将在DEF CON 31上共同参与对他们的生成式人工智能系统的公开安全评估。
消息来源:
https://www.secrss.com/articles/54509
06
美政府对 AI 不放心,OpenAI
CEO 将首次赴国会作证
OpenAI CEO 萨姆・阿尔特曼 (Sam Altman) 将于下周出席美国参议院的一个小组委员会听证会,这将是他首次在美国国会作证。随着人工智能 (AI) 技术变得越来越强大和普及,美国国会正在努力解决如何以最好方式监管 AI。
消息来源:
https://www.ithome.com/0/691/860.htm
07
虚假的Windows 更新正用来传
播Aurora 信息窃取恶意软件
研究人员最近发现,有恶意网络活动通过浏览器内的 Windows 更新模拟来欺骗用户,以传播 Aurora 信息窃取恶意软件。
消息来源:
https://www.bleepingcomputer.com/news/security/fake-in-browser-windows-updates-push-aurora-info-stealer-malware/
08
GitHub 可自动阻止存储库
的令牌和 API 密钥泄漏
GitHub 现在自动阻止所有公共代码存储库的 API 密钥和访问令牌等敏感信息的泄露。此功能通过在接受“git push”操作之前扫描秘密来主动防止泄漏,并且它适用于可检测的 69 种令牌类型。
消息来源:
https://www.bleepingcomputer.com/news/security/github-now-auto-blocks-token-and-api-key-leaks-for-all-repos/
# 漏洞情报 #
01
GitLab代码执行漏洞安全风
险通告(CVE-2023-2478)
近日,奇安信CERT监测到GitLab 代码执行漏洞(CVE-2023-2478),经过身份认证的远程攻击者利用此漏洞可以通过GraphQL端点将恶意Runner 附加到实例上的任何项目上,进一步利用可能造成代码执行或敏感信息泄露。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
02
Linux Kernel 权限提
升漏洞安全风险通告
近日,奇安信CERT监测到 Linux Kernel 权限提升漏洞(CVE-2023-0386),在Linux Kernel OverlayFS子系统中,当用户将一个具有权限的文件从nosuid挂载点复制到另一个挂载点时,未经授权的攻击者可以执行 setuid文件,导致权限提升。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
03
微软2023年5月补丁日多
个产品安全漏洞风险通告
消息来源:
04
Win32k 特权提升漏洞
2023年5月9日,微软发布5月安全公告,披露了覆盖Windows Kernel、Microsoft Office、Visual Studio Code等多个产品中的40个安全漏洞,其中包含一个 Windows Win32k 中的权限提升漏洞,漏洞编号:CVE-2023-29336,漏洞危害等级:高危。
Windows Win32k 模块存在权限提升漏洞,本地攻击者可以构造恶意程序触发该漏洞,成功利用后攻击者可以将自身权限提升至SYSTEM权限,该漏洞存在在野利用。消息来源:
https://loudongyun.360.net/leakDetail/0Y83ejKnnxE%3D
05
Windows MSHTML Platform
安全特性绕过漏洞安全风险通告
近日,奇安信CERT监测到Windows MSHTML Platform 安全特性绕过漏洞(CVE-2023-29324),在Windows MSHTML中,由于Windows处理路径函数CreateUri 错误的转换了某些路径,导致攻击者可以构造恶意路径绕过CVE-2023-23397 Microsoft Outlook权限提升漏洞防护措施。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
06
宏景eHR SQL注入
漏洞安全风险通告
近日,奇安信CERT监测到宏景eHR SQL注入漏洞(QVD-2023-11385),未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
消息来源:
07
泛微 E-Office 命令注
入和任意文件上传漏洞
消息来源:
END
一周网安咨询由雷石安全实验室汇总整理
信息来源:
freebuf、安全客、安全内参、中国信息安全、
cnbeta、seebug,hacknews
如有侵权请联系:admin#unsafe.sh