一周安全动态(2022.12.31-2023.1.5)
发布时间:2023-01-06 查看次数:
一、政策要闻
1.全国网信办主任会议在京召开
1月4日至5日,全国网信办主任会议在京召开。会议以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入学习宣传贯彻党的二十大精神以及中央经济工作会议、全国宣传部长会议精神,回顾总结2022年网络安全和信息化工作,研究部署2023年工作。
(来源:中国网信网)
2.工信部:不得误导用户下载安装APP
工信部近日发布《工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》提出,要确保用户知情同意安装,不得通过“偷梁换柱”“强制捆绑”“静默下载”等方式欺骗误导用户下载安装APP。在加强个人信息保护方面,《意见稿》明确提出,不得违规收集个人信息,或强制用户同意收集与服务场景无关的个人信息。
(来源:北京日报)
3.强制收集用户画像信息并发送营销短信,App被判侵权道歉
北京互联网法院(以下简称“北互”)官微消息,北互近日审结了一起App强制收集用户画像侵权案。此案中,原告在使用被告运营的软件时,需要填写“职业”“学习目的”“英语水平”等内容,还需填写个人基本信息界面等内容才可进入首页,在此过程中并无跳过选项,也无关于同意收集个人信息的提示。原告认为被告侵犯其个人信息权益,遂将其告上法庭。
最终,法院判决被告涉案软件运营者向原告罗某提供个人信息副本、删除个人信息并停止个人信息处理行为,赔礼道歉并赔偿维权支出2900元。
(来源:隐私护卫队)
二、技术资讯
4.Fortinet FortiOS 安全漏洞
漏洞编号是CNNVD-202212-2946和CVE-2022-42475,成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS 7.2.0等多个版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。
(来源:汇能云安全)
5.微软发布多个漏洞通报,请及时更新补丁
微软官方发布公告更新了Microsoft Graphics Component安全漏洞CNNVD-202212-3145、CVE-2022-26804、CNNVD-202212-3123和CVE-2022-26805等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
(来源:汇能云安全)
6.高通发布补丁更新,修复其芯片组中多个安全漏洞
高通公司近期发布了补丁,以解决其芯片组中的多个安全漏洞,其中一些漏洞可能被用来导致信息泄露和内存损坏。基于堆栈的缓冲区溢出漏洞可能导致严重影响,例如数据损坏、系统崩溃和任意代码执行。另一方面,缓冲区过度读取可以被武器化以读取越界内存,从而导致秘密数据的暴露。联想在近期发布的警报中指出,成功利用上述漏洞可能允许具有提升权限的本地对手机造成内存损坏或泄露敏感信息。
(来源:汇能云安全)
三、国际视野
7.2亿Twitter用户的数据被公开,仅需2美元即可下载
近日,一个包含超过2亿Twitter用户数据的文件在一个流行的黑客论坛上发布,价格约为2美元。目前,已经证实了泄露中列出的诸多用户数据的有效性。
(来源:FreeBuf)
8.BlackCat勒索软件组织创建了泄露受害者数据的网站
BlackCat勒索软件即服务组织正在尝试一种新的压力策略,让受害者支付勒索费用:在公共互联网上创建一个欺骗性网站,揭示从受害者那里窃取的个人数据。据称,该组织也被称为Alphv,从一家美国小型会计师事务所窃取了3.5GB的数据。所有这些数据显然都可以在欺骗网站上找到。“我们用被盗的数据创建了一个清晰的网站,希望你喜欢它!”BlackCat在其泄漏网站上写道。被盗数据也在文件共享服务上,其链接位于泄漏站点上。
(来源:汇能云安全)