【一周安全資訊0817】《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》將提交聯(lián)大表決;AMD曝出“超級(jí)權(quán)限漏洞”,數(shù)億設(shè)備面臨威脅 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-08-17 瀏覽次數(shù): |
要聞速覽 1、《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》將提交聯(lián)大表決,我國(guó)發(fā)揮關(guān)鍵作用 2、國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實(shí)施指南》將于2024年12月1日正式實(shí)施 3、AMD曝出“超級(jí)權(quán)限漏洞”,數(shù)億設(shè)備面臨威脅 4、GitHub全球宕機(jī),微軟Copilot同時(shí)癱瘓 5、通用汽車因非法收集和出售駕駛者隱私數(shù)據(jù)遭起訴 6、英國(guó)一核設(shè)施曝出嚴(yán)重網(wǎng)絡(luò)安全失誤,已造成國(guó)家安全威脅
一周政策要聞 《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》將提交聯(lián)大表決,我國(guó)發(fā)揮關(guān)鍵作用 近日,聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約特委會(huì)順利通過(guò)《關(guān)于打擊為犯罪目的使用信息和通信技術(shù)行為的全面國(guó)際公約》(簡(jiǎn)稱《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》)。該條約接下來(lái)將于秋季提交聯(lián)合國(guó)大會(huì)進(jìn)行投票。由于投票國(guó)家與之前相同,預(yù)計(jì)該條約將在聯(lián)合國(guó)大會(huì)順利通過(guò)。
我國(guó)一貫倡導(dǎo)并支持在聯(lián)合國(guó)談判制定關(guān)于打擊網(wǎng)絡(luò)犯罪的全球性公約,并于2019年共同提出關(guān)于啟動(dòng)公約談判的聯(lián)大第74/247號(hào)決議。2022年以來(lái),中國(guó)作為特委會(huì)副主席國(guó),以網(wǎng)絡(luò)空間命運(yùn)共同體理念為引領(lǐng),旗幟鮮明倡導(dǎo)加強(qiáng)打擊網(wǎng)絡(luò)犯罪國(guó)際合作,支持強(qiáng)化發(fā)展中國(guó)家能力建設(shè),并在談判中與各方開(kāi)展建設(shè)性對(duì)話,引導(dǎo)各方展現(xiàn)靈活,為最終談成公約發(fā)揮關(guān)鍵作用。 據(jù)了解,該公約是網(wǎng)絡(luò)領(lǐng)域首個(gè)由聯(lián)合國(guó)主持制定的普遍性國(guó)際公約,將在全球范圍內(nèi)為打擊網(wǎng)絡(luò)犯罪國(guó)際合作提供法律框架,對(duì)網(wǎng)絡(luò)空間國(guó)際法發(fā)展有重大意義。
信息來(lái)源:信息安全國(guó)家工程研究中心https://mp.weixin.qq.com/s/37x_wjRmYDwTibY_2G61HA
國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實(shí)施指南》將于2024年12月1日正式實(shí)施 國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實(shí)施指南》GB/T 44109-2024的發(fā)布與實(shí)施,是我國(guó)數(shù)據(jù)安全治理體系邁向成熟的重要標(biāo)志。據(jù)悉,該標(biāo)準(zhǔn)將于2024年12月1日正式實(shí)施。 該標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)治理實(shí)施過(guò)程框架,從數(shù)據(jù)治理的規(guī)劃、執(zhí)行、評(píng)價(jià)、改進(jìn)等方面進(jìn)行了全面系統(tǒng)的闡述,為各企業(yè)、機(jī)構(gòu)的數(shù)據(jù)治理實(shí)施提供了有力的支持。
消息來(lái)源:中國(guó)信息協(xié)會(huì)大數(shù)據(jù)分會(huì) https://www.ciiabd.org.cn/articles/R9xxD9.html
業(yè)內(nèi)新聞速覽 AMD曝出“超級(jí)權(quán)限漏洞”,數(shù)億設(shè)備面臨威脅 在2024年度Defcon黑客大會(huì)上,安全公司IOActive的研究員披露了AMD處理器的一個(gè)名為“Sinkclose”的難以修復(fù)的嚴(yán)重漏洞。這一漏洞影響了自2006年以來(lái)發(fā)布的幾乎所有AMD處理器,這意味著數(shù)以億計(jì)的筆記本、臺(tái)式機(jī)和服務(wù)器等設(shè)備都可能成為潛在的攻擊目標(biāo)。
“Sinkclose”漏洞的嚴(yán)重性在于,它允許攻擊者將權(quán)限從操作系統(tǒng)的最高權(quán)限級(jí)別(ring 0,即操作系統(tǒng)內(nèi)核)提升至處理器的最高特權(quán)模式——系統(tǒng)管理模式(System Management Mode, SMM)。在這一模式下,攻擊者可以執(zhí)行惡意代碼,并在系統(tǒng)固件中植入難以檢測(cè)和移除的惡意軟件。更為嚴(yán)重的是,這種惡意軟件可以繞過(guò)安全引導(dǎo)等關(guān)鍵安全機(jī)制,即使在操作系統(tǒng)重新安裝后仍然長(zhǎng)期駐留。 目前,AMD雖然發(fā)布了針對(duì)部分最新處理器的更新補(bǔ)丁,但對(duì)于較舊的處理器,AMD決定不提供補(bǔ)丁,這無(wú)疑增加了仍在大量使用中的舊型號(hào)處理器的潛在威脅。
消息來(lái)源:安全內(nèi)參https://www.secrss.com/articles/69080
GitHub全球宕機(jī),微軟Copilot同時(shí)癱瘓 FREEBUF 8月15日消息,全球最大的代碼托管平臺(tái) GitHub 近日遭遇了全球性宕機(jī)事件,不僅影響了其網(wǎng)站的正常訪問(wèn),還導(dǎo)致多項(xiàng)服務(wù)如pull requests、GitHub Pages和GitHub API等出現(xiàn)故障。 在宕機(jī)期間,前往 GitHub 主網(wǎng)站后頁(yè)面會(huì)顯示一條錯(cuò)誤消息(錯(cuò)誤消息中還附有一張憤怒的獨(dú)角獸圖片),提示“當(dāng)前沒(méi)有可用于響應(yīng)您請(qǐng)求的服務(wù)器”。 此次宕機(jī)事件的影響范圍相當(dāng)廣泛,Downdetector的數(shù)據(jù)顯示,超過(guò)1萬(wàn)名用戶受到了影響,這其中包括了眾多開(kāi)發(fā)者和公司。互聯(lián)網(wǎng)監(jiān)控服務(wù)BetBlocks也發(fā)布消息,確認(rèn)GitHub經(jīng)歷了跨國(guó)服務(wù)中斷。更有人在 Hacker News 上調(diào)侃稱:“這下所有 AI 原生應(yīng)用開(kāi)發(fā)者可以正大光明摸魚(yú)了,因?yàn)?Copilot 已經(jīng)癱瘓了!”。幸運(yùn)的是,系統(tǒng)目前已經(jīng)恢復(fù)正常運(yùn)行,GitHub 迅速回滾了導(dǎo)致此次事故的數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施變更,并宣布服務(wù)已經(jīng)“全面恢復(fù)運(yùn)行”。據(jù)了解,GitHub自2018年被微軟以75億美元收購(gòu)后,用戶數(shù)量實(shí)現(xiàn)了強(qiáng)勁增長(zhǎng),從當(dāng)時(shí)的不到4000萬(wàn)用戶增長(zhǎng)到現(xiàn)在的7300多萬(wàn)開(kāi)發(fā)者用戶。然而,一些用戶認(rèn)為,盡管GitHub的知名度不斷提高,但其在開(kāi)發(fā)者心中的地位卻逐漸下滑,平臺(tái)的可靠性也成為了一些人關(guān)注的焦點(diǎn)。此次宕機(jī)事件不僅是一個(gè)平臺(tái)的問(wèn)題,更影響了整個(gè)全球開(kāi)發(fā)者社區(qū),無(wú)數(shù)項(xiàng)目的開(kāi)發(fā)進(jìn)程被迫中斷,這也再次突顯了對(duì)單一平臺(tái)依賴的風(fēng)險(xiǎn)。 消息來(lái)源:FREEBUF https://www.freebuf.com/news/408688.html
通用汽車因非法收集和出售駕駛者隱私數(shù)據(jù)遭起訴 日前,美國(guó)德克薩斯州檢察長(zhǎng)辦公室對(duì)通用汽車提起訴訟,指控該汽車制造商非法收集并出售約150萬(wàn)德州客戶的駕駛數(shù)據(jù)。這一行為不僅侵犯了車主隱私,還涉嫌違反德州法律。據(jù)調(diào)查,通用汽車自2015年起利用車載技術(shù)收集、記錄、分析并傳輸詳細(xì)的駕駛數(shù)據(jù),隨后將這些信息出售給第三方公司,包括保險(xiǎn)公司。這些數(shù)據(jù)被用于生成“駕駛評(píng)分”,而車主對(duì)此并不知情。調(diào)查還發(fā)現(xiàn),通用汽車在車輛過(guò)戶過(guò)程中強(qiáng)制客戶注冊(cè)O(shè)nStar等產(chǎn)品,否則車輛的安全功能將被停用。通過(guò)這種方式,客戶在不知情的情況下同意了數(shù)據(jù)收集和出售。近年來(lái),隨著車輛互聯(lián)程度的提高,汽車數(shù)據(jù)安全問(wèn)題日益凸顯。例如,日產(chǎn)北美和香港寶馬經(jīng)銷商今年都曾發(fā)生客戶信息泄露事件。特斯拉則被曝出車主攝像頭拍攝的錄音在內(nèi)部消息系統(tǒng)中共享。
消息來(lái)源:安全牛 https://mp.weixin.qq.com/s/SbkJbDAvcp9qvWEo9k-x_Q
英國(guó)一核設(shè)施曝出嚴(yán)重網(wǎng)絡(luò)安全失誤,已造成國(guó)家安全威脅 安全內(nèi)參8月14日消息,英國(guó)最危險(xiǎn)的核設(shè)施——塞拉菲爾德(Sellafield)因一系列網(wǎng)絡(luò)安全失誤面臨刑事指控。近日,該公司對(duì)相關(guān)指控表示認(rèn)罪,并承認(rèn)其失誤可能對(duì)國(guó)家安全構(gòu)成威脅。
法院獲悉,該核廢料堆場(chǎng)中75%的計(jì)算機(jī)服務(wù)器易受網(wǎng)絡(luò)攻擊,可能威脅國(guó)家安全。塞拉菲爾德在過(guò)去幾年中發(fā)生了一系列IT失誤,包括外部承包商能無(wú)監(jiān)督地將U盤插入系統(tǒng)、服務(wù)器極度不安全等問(wèn)題。今年6月,該公司承認(rèn)了核監(jiān)管辦公室提出的指控,涉及2019年至2023年間的一系列信息技術(shù)安全違規(guī)行為。目前等待最終判決,預(yù)計(jì)將在9月進(jìn)行。 此次判決是首個(gè)因IT安全被起訴的核設(shè)施案例,塞拉菲爾德已同意支付法律費(fèi)用,并表示已對(duì)系統(tǒng)進(jìn)行重大改進(jìn)以確保更好的保護(hù)和更強(qiáng)的彈性。此次事件不僅是塞拉菲爾德的危機(jī),也是整個(gè)核能行業(yè)的一次警鐘。
消息來(lái)源:安全內(nèi)參https://www.secrss.com/articles/69143
來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝! |