新闻速览
•工信部通报21款侵害用户权益行为的APP及SDK
•中国互联网协会就《工业和信息化领域数据安全合规指引(征求意见稿)》公开征求意见
•明文存储用户密码存重大安全隐患,Meta被罚超7亿元
•WP Engine被禁止访问WordPress资源,数千个网站或面临风险
•谷歌Gemini办公空间漏洞致其易受提示注入攻击
•微软音频驱动和组播服务曝安全漏洞
•HPE Aruba网络修复三个接入点严重漏洞
•紧急预警:Progress Software敦促用户立即修补WhatsUp Gold重大安全缺陷
•Tor项目与Tails操作系统宣布合并运营
特别关注
工信部通报21款侵害用户权益行为的APP及SDK
9月29日,工业和信息化部信息通信管理局发布《关于侵害用户权益行为的APP(SDK)通报(2024年第8批,总第43批)》,通报21款存在侵害用户权益行为的APP及SDK(详见附件)。
根据通报,工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续整治APP侵害用户权益的违规行为。近期,工业和信息化部组织第三方检测机构进行抽查,发现这21款APP及SDK存在侵害用户权益行为,并予以通报。
工业和信息化部责令上述APP及SDK按有关规定进行整改;整改落实不到位的,将依法依规组织开展相关处置工作。
原文链接:
https://wap.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_7471539a36f04791a88ee6a66536f17a.html
中国互联网协会就《工业和信息化领域数据安全合规指引(征求意见稿)》公开征求意见
9月29日,中国互联网协会发出通知,公开征求对《工业和信息化领域数据安全合规指引(征求意见稿)》的意见。
根据通知,为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规要求,中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信标准化协会、中国通信企业协会、中国互联网协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等十七家行业组织共同编制《工业和信息化领域数据安全合规指引(征求意见稿)》,充分发挥行业自律作用,引导工业和信息化领域数据处理者合法合规开展数据处理活动,准确全面履行数据安全保护责任义务。现面向会员单位公开征求意见。
公开征求意见的时间截至2024年10月16日。
原文链接:
https://mp.weixin.qq.com/s/XFbp7wFHzJzjMfLTOpxFgg
热点观察
明文存储数亿用户密码,Meta被罚超7亿元
近日,爱尔兰数据保护委员会(DPC)对Meta处以7.13亿元(9100万欧元)巨额罚款,原因是该公司违反数据保护法规,以明文形式存储了数亿用户的密码。
事件源于2019年1月,Meta在例行安全审查中发现部分用户密码以明文形式存储在内部数据存储系统中。这一发现引起了公司的高度重视,因为正常情况下,登录系统应使用特殊技术使密码不可读。Meta随即采取措施修复问题,并承诺通知所有受影响用户。据Meta估计,此事件影响数亿Facebook Lite用户、数千万其他Facebook用户,以及数万Instagram用户。
尽管Meta声称这些密码仅对内部人员可见,且未发现滥用或不当访问的证据,但此事仍引发了严重的数据安全担忧。2019年4月,Meta向DPC报告了这一事件,随后DPC展开了全面调查。DPC于9月26日做出处罚决定,并表示将在后续发布完整决定和更多细节。
原文链接:
https://securityaffairs.com/169045/social-networks/irish-data-protection-commission-fined-meta-euro-91-million.html
WP Engine被禁止访问WordPress资源,数千个网站或面临风险
近日,WordPress.org宣布禁止WP Engine访问其资源,并停止向该平台上托管的网站提供插件更新。这一决定源于双方长期以来的矛盾,涉及对WordPress开源项目的贡献、品牌使用以及领导层之间的公开批评。
冲突的核心在于WordPress.com和WooCommerce的所有者Automattic指控WP Engine未能充分回馈WordPress社区,同时擅自修改WordPress核心功能以阻止对其不利的信息传播。作为回应,WP Engine向Automattic发送了停止侵权函,指控其试图强制收取高额商标授权费。
这场纷争的最新发展使数千个托管在WP Engine上的网站无法获得安全更新,潜在地将数百万互联网用户置于黑客攻击的风险之中。WordPress.org将解决安全问题的责任完全归咎于WP Engine,建议用户遇到问题时直接联系WP Engine的支持团队。但WP Engine短期内组建一个有效的安全团队以应对这一挑战似乎并不现实。
原文链接:
https://www.bleepingcomputer.com/news/security/automattic-blocks-wp-engines-access-to-wordpress-resources/
漏洞预警
谷歌Gemini办公空间漏洞致其易受提示注入攻击
近日,研究人员发现谷歌Gemini办公空间存在严重安全漏洞。这一漏洞使得这款集成在多款谷歌产品中的AI助手易受间接提示注入攻击,可能导致恶意第三方操控助手生成误导性或意外的回复。
Hidden Layer研究团队通过详细的概念验证示例证明,这些漏洞可能被用于进行网络钓鱼攻击。例如,攻击者可以创建恶意电子邮件,促使Gemini助手显示关于密码泄露的虚假警报,并引导用户访问恶意网站重置密码。研究还表明,这些漏洞不仅限于Gmail,还扩展到其他谷歌产品。比如,攻击者可以将恶意负载注入演讲者备注,导致Gemini生成的摘要包含意外内容;在Google云端硬盘中,Gemini表现得像典型的RAG(检索、增强、生成)实例,使攻击者能够交叉注入文档并操控助手的输出。
尽管谷歌将这些漏洞归类为“预期行为”,但其影响不容忽视,尤其是在信息可信性和可靠性至关重要的敏感环境中。随着Gemini办公空间的持续推广,谷歌亟需解决这些安全隐患,以确保其生成信息的完整性和可靠性。
原文链接:
https://cybersecuritynews.com/gemini-workspace-prompt-injection/
微软音频驱动和组播服务器曝安全漏洞
近日,思科Talos漏洞研究团队披露了微软产品中存在的两个重大安全漏洞,这些漏洞已在微软最近两次补丁发布中得到修复。
第一个漏洞(CVE-2024-45383)存在于微软高清音频总线驱动程序中。该驱动程序负责Windows操作系统与外部音频设备(包括主板集成设备和通过高清音频接口连接的设备)之间的通信。漏洞源于驱动程序接口对I/O请求数据包(IRP)的错误处理。攻击者可以通过向驱动程序发送多个IRP完成请求来触发拒绝服务攻击,导致系统蓝屏。
第二个漏洞(CVE-2024-38140)是在Windows 10内核的实用通用组播服务器中发现的内存破坏漏洞。攻击者可以通过发送特制的网络数据包,访问陈旧的内存结构,从而导致内存破坏。
原文链接:
https://cybersecuritynews.com/microsoft-audio-bus-rce-vulnerability/
HPE Aruba网络修复三个接入点严重漏洞
近日。HPE Aruba网络近日修复了其Aruba接入点命令行接口(CLI)服务中的三个严重漏洞,这些漏洞可能被未经授权的攻击者利用,实现远程代码执行。受影响的漏洞编号为CVE-2024-42505、CVE-2024-42506和CVE-2024-42507。
这些漏洞可通过向PAPI(Aruba的接入点管理协议)UDP端口8211发送特制数据包来利用,从而获得特权访问并在易受攻击的设备上执行任意代码。HPE Aruba网络确认,这些安全缺陷影响运行Instant AOS-8和AOS-10的Aruba接入点。受影响的软件版本包括AOS-10.6.x.x(10.6.0.2及以下)、AOS-10.4.x.x(10.4.1.3及以下)、Instant AOS-8.12.x.x(8.12.0.1及以下)和Instant AOS-8.10.x.x(8.10.0.13及以下)。
据介绍,目前尚未发现针对这三个关键漏洞的公开利用代码或攻击事件。但考虑到漏洞的严重性,HPE Aruba网络强烈建议管理员尽快在易受攻击的接入点上安装最新的安全更新,以防止潜在攻击。作为临时解决方案,对于运行Instant AOS-8.x代码的设备,管理员可以启用“集群安全”来阻止利用尝试。对于AOS-10设备,建议阻止来自所有不受信任网络的UDP/8211端口访问。
原文链接:
https://www.bleepingcomputer.com/news/security/hpe-aruba-networking-fixes-three-critical-rce-flaws-impacting-its-access-points/
紧急预警:Progress Software敦促用户立即修补WhatsUp Gold重大安全缺陷
近日,Progress Software发出紧急警告,敦促用户尽快修补其网络监控工具WhatsUp Gold中的多个严重和高危安全缺陷。虽然该公司已于9月20日发布了修复这些问题的WhatsUp Gold 24.0.1版本,并在24日公布了相关公告,但目前尚未提供这些安全缺陷的具体细节。
Progress表示,WhatsUp Gold团队已识别出6个存在于24.0.1版本以下的缺陷,其中两个CVSS评分达到9.8,四个为8.8。
值得注意的是,自8月30日以来,攻击者一直在利用多个WhatsUp Gold安全缺陷发起攻击。鉴于当前的安全形势,Progress Software强烈建议所有WhatsUp Gold用户立即升级到最新版本,以防止潜在的安全威胁。
原文链接:
https://www.bleepingcomputer.com/news/security/progress-urges-admins-to-patch-critical-whatsup-gold-bugs-asap/
产业动态
Tor项目与Tails操作系统宣布合并运营
近日,Tor项目与Tails操作系统正式宣布合并,旨在增强双方合作,扩大培训和宣传力度,并加强两家开源组织在全球范围内保护用户免受数字监控和审查。
Tails于2023年底提议与Tor项目合并业务,旨在增强其运营能力,并建立一个更大、更成熟的运营框架。Tails团队表示,通过合并他们将专注于维护和改进Tails操作系统的核心任务,同时探索更多互补的应用场景,并受益于Tor项目更大的组织结构。
Tor和Tails长期以来一直保持密切合作,两者的开发者团队紧密协作。这两个项目提供互补的隐私保护方案:Tor浏览器用于匿名在线活动,而Tails则提供安全的操作系统环境。它们共同为面临监控或希望访问开放网络的用户提供全面的解决方案。
原文链接:
https://securityaffairs.com/169018/digital-id/tor-project-tails-os-join-forces.html