一周安全动态(2022.12.23-2022.12.30)
发布时间:2022-12-30 查看次数:
一、政策要闻
1.工信部等十二部门公布2022年网络安全技术应用试点示范项目名单
工业和信息化部、国家互联网信息办公室等十二部门近日联合公布2022年网络安全技术应用试点示范项目名单,共有99个项目上榜。各入选项目申报单位要坚持需求导向和技术推动,加大投入力度,持续优化项目质量和服务水平,积极创造经济价值和社会效益。各示范区运营单位要聚焦发展方向,汇聚产业资源,打造高质量网络安全“高精尖”技术创新平台。各有关部门要加大支持力度,推动试点示范项目在各地区、各行业应用推广。
(来源:工信微报)
2.网络窃密、攻击、破坏等拟认定为间谍行为
今日,反间谍法修订草案提请十三届全国人大常委会第三十八次会议审议。修订草案二审稿规定了间谍行为的定义。有意见提出,网络窃密、攻击、破坏是间谍行为新形态,建议增加有关网络间谍的规定。修订草案二审稿将为间谍组织及其代理人提供针对关键信息基础设施的网络安全漏洞等信息的行为规定为间谍行为。还有意见提出,帮助实施间谍行为具有一定的社会危害性,需要依法惩处,但性质应区别于直接实施间谍行为。修订草案二审稿将帮助实施间谍行为在法律责任中明确予以处罚。
(来源:法制日报)
3.最高法:微信号、人脸信息、手机验证码等属于公民个人信息
近日,最高人民法院发布第35批共4件指导性案例,均为公民个人信息保护刑事案例。
指导性案例192号《李开祥侵犯公民个人信息刑事附带民事公益诉讼案》明确了使用人脸识别技术处理的人脸信息属于刑法规定的公民个人信息。
指导性案例193号《闻巍等侵犯公民个人信息案》明确了居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息。
指导性案例194号《熊昌恒等侵犯公民个人信息案》明确了违反国家有关规定,购买微信等社交媒体账号后,非法制作带有公民个人信息的社交媒体账号出售、提供给他人,情节严重的,构成侵犯公民个人信息罪。
指导性案例195号《罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案》明确了服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性属于刑法规定的公民个人信息。
(来源:中国信息安全)
4.国家邮政局:进一步加强邮政快递领域个人信息保护
12月28日,国家邮政局召开局长办公会议,会议强调,要进一步加强邮政快递领域个人信息保护和治理,进一步发挥标准工作对行业高质量发展的促进和支撑作用,进一步强化各类标准特别是产业联动类标准的有效供给,切实抓好已出台标准的落地实施。
(来源:国家邮政局)
二、技术资讯
5.macOS漏洞可绕过安全检查
微软研究人员在macOS中发现一个安全漏洞,攻击者利用该漏洞可以实现安全检查绕过。Gatekeeper是macOS中的一个安全特征,可以自动检查从互联网下载的Mac APP是经过公证的还是开发者自签名的,并要求用户在启动前进行确认或发布关于APP不可信的预警消息。微软首席安全研究员Jonathan Bar Or在macOS Gatekeeper中发现一个安全漏洞——Achilles,漏洞CVE编号为CVE-2022-42821。攻击者利用该漏洞可以在有漏洞的macOS设备上绕过Gatekeeper的应用执行限制来部署恶意软件。
(来源:嘶吼专业版)
6.专家警告利用 WordPress 礼品卡插件的攻击
黑客正在积极利用一个关键漏洞,跟踪为CVE-2022-45359,影响 WordPress 插件 YITH WooCommerce 礼品卡高级版。YITH WooCommerce Gift Cards Premium插件允许在线商店的网站销售礼品卡,这是一个在50,000多个网站上使用的WordPress插件。CVE-2022-45359 漏洞是一个任意文件上传问题,可允许未经身份验证的攻击者将文件上传到易受攻击的站点,包括提供对站点的完全访问权限的 Web shell。
(来源:汇能云安全)
三、国际视野
7.关基保护重大事件!能源巨头因遭受勒索攻击影响信用评级
12月27日消息,南美洲国家哥伦比亚的能源巨头Empresas Publicas de Medellin (EPM)近日遭到网络攻击。穆迪评级称,这起事件可能影响其信用水平。该事件为关键基础设施行业敲响警钟,提醒相关企业应制定行之有效的缓解措施与漏洞管理计划。
(来源:安全内参)
8.微软因强制用户接受Cookie被法国数据监管机构处以6000万欧元罚款
法国国家信息自由委员会称,微软的搜索引擎必应(Bing)没有建立能够让互联网用户“轻易拒绝”cookie的系统。法国监管机构称,经过调查发现,当用户访问该网站时,网站方面未经用户同意就将一些cookie存储在用户终端上,而这些cookie主要用于广告目的。
法国监管机构表示,微软并没有在该网站设定虚拟在线按钮帮助用户轻松拒绝cookie。监管机构还表示,罚款之所以是合理的,部分原因是根据网站数据和cookie数据等方面判断,微软公司间接通过cookie收集的数据获得利润,从而使公司的广告获益。
(来源:中国新闻网)