要聞速覽

1、國務(wù)院辦公廳印發(fā)《國務(wù)院2025年度立法工作計劃》

2、中央網(wǎng)信辦等四部門印發(fā)《2025年數(shù)字鄉(xiāng)村發(fā)展工作要點》

3、Google因生物識別數(shù)據(jù)侵權(quán)支付創(chuàng)紀(jì)錄13.75億美元和解金

4、歐洲漏洞數(shù)據(jù)庫正式啟動，CVE動蕩中的新選擇

5、迪奧確認(rèn)中國客戶信息遭泄露

6、華碩驅(qū)動管理工具安全漏洞允許惡意網(wǎng)站悄然執(zhí)行管理員級命令

一周政策要聞

國務(wù)院辦公廳印發(fā)《國務(wù)院2025年度立法工作計劃》

2025年5月14日，國務(wù)院辦公廳印發(fā)《國務(wù)院2025年度立法工作計劃》，其中多項內(nèi)容和網(wǎng)絡(luò)與信息安全相關(guān)，包括制定政務(wù)數(shù)據(jù)共享條例，預(yù)備制定網(wǎng)絡(luò)安全等級保護條例、終端設(shè)備直連衛(wèi)星服務(wù)管理條例，預(yù)備修訂政府信息公開條例、互聯(lián)網(wǎng)信息服務(wù)管理辦法、反間諜法實施細則，推進人工智能健康發(fā)展立法工作。此前公安部于2018年6月公布《網(wǎng)絡(luò)安全等級保護條例（征求意見稿）》對外公開征求意見，時隔7年后，該文件終于迎來新進展。

中央網(wǎng)信辦等四部門印發(fā)《2025年數(shù)字鄉(xiāng)村發(fā)展工作要點》

近日，中央網(wǎng)信辦、農(nóng)業(yè)農(nóng)村部、國家發(fā)展改革委、工業(yè)和信息化部聯(lián)合印發(fā)《2025年數(shù)字鄉(xiāng)村發(fā)展工作要點》（以下簡稱《工作要點》）。

《工作要點》要求，深入貫徹落實習(xí)近平總書記關(guān)于“三農(nóng)”工作的重要論述和重要指示精神，全面貫徹落實黨的二十屆三中全會精神和中央經(jīng)濟工作會議、中央農(nóng)村工作會議精神，按照《中共中央 國務(wù)院關(guān)于進一步深化農(nóng)村改革 扎實推進鄉(xiāng)村全面振興的意見》的部署要求，深入實施《數(shù)字鄉(xiāng)村發(fā)展戰(zhàn)略綱要》，堅持學(xué)習(xí)運用“千萬工程”經(jīng)驗，堅持發(fā)揮信息化驅(qū)動引領(lǐng)作用，錨定強農(nóng)惠農(nóng)富農(nóng)任務(wù)目標(biāo)，著力推動農(nóng)業(yè)增效益、農(nóng)村增活力、農(nóng)民增收入，為加快建設(shè)網(wǎng)絡(luò)強國、推進鄉(xiāng)村全面振興提供堅實支撐。

消息來源：中華人民共和國國家互聯(lián)網(wǎng)信息辦公室 https://www.cac.gov.cn/2024-05/15/c_1717449025941328.htm

業(yè)內(nèi)新聞速覽

Google因生物識別數(shù)據(jù)侵權(quán)支付創(chuàng)紀(jì)錄13.75億美元和解金

日前，Google已同意向德克薩斯州支付13.75億美元的和解金，以解決2022年一項指控其未經(jīng)適當(dāng)同意收集和使用數(shù)百萬德克薩斯州居民生物識別數(shù)據(jù)的訴訟。

德克薩斯州總檢察長Ken Paxton辦公室宣布這項和解協(xié)議，稱其為該州的"歷史性勝利"，并指出這是全美范圍內(nèi)針對Google的最高賠償金額。根據(jù)訴訟，自2015年以來，Google在未獲得用戶同意的情況下非法收集德克薩斯州居民的面部和語音掃描數(shù)據(jù)，以增強其定向廣告業(yè)務(wù)。此外，Google還被指控持續(xù)追蹤使用其產(chǎn)品和服務(wù)的德克薩斯州居民，不斷記錄他們的位置和在Chrome隱身模式下的搜索內(nèi)容。

Google發(fā)言人表示，此次和解涵蓋了兩個案件和三項索賠，所有這些都已導(dǎo)致技術(shù)巨頭產(chǎn)品和服務(wù)的變更，因此無需進一步行動。Google還指出，和解并不意味著承認(rèn)有不當(dāng)行為或責(zé)任。。

消息來源：GoUpSec https://baijiahao.baidu.com/s?id=1831986635929155803&wfr=spider&for=pc

歐洲漏洞數(shù)據(jù)庫正式啟動，CVE動蕩中的新選擇

歐洲網(wǎng)絡(luò)與信息安全局(ENISA)5月13日宣布正式啟動歐洲漏洞數(shù)據(jù)庫(EUVD)，這一舉措在美國CVE體系面臨動蕩之際，為全球網(wǎng)絡(luò)防御人員提供了新的選擇。在CISA最近被迫臨時延長非營利組織MITRE合同11個月后，許多機構(gòu)對CVE項目的長期前景表示擔(dān)憂，EUVD的啟動可謂恰逢其時。

此前處于測試階段的EUVD是根據(jù)新版NIS2指令要求開發(fā)的，其功能類似于美國國家漏洞數(shù)據(jù)庫(NVD)。EUVD將提供一個集中化的信息源，包含網(wǎng)絡(luò)安全漏洞信息、利用狀態(tài)和建議的緩解措施。漏洞信息將來自多個來源，如計算機安全事件響應(yīng)團隊(CSIRTs)、廠商以及現(xiàn)有數(shù)據(jù)庫，包括CISA的已知漏洞利用目錄和MITRE CVE項目。這些信息將自動轉(zhuǎn)入EUVD系統(tǒng)中。

EUVD為用戶提供三個儀表板：關(guān)鍵漏洞、已被利用的漏洞，以及由歐洲CSIRTs支持的歐盟協(xié)調(diào)漏洞。每個漏洞都被賦予"EUVD"標(biāo)識符，同時列出CVE ID和其他可能的標(biāo)識，如云安全聯(lián)盟的全球安全數(shù)據(jù)庫(GSD)或GitHub安全公告(GHSA)。EUVD數(shù)據(jù)記錄包括：漏洞描述、受影響的IT產(chǎn)品或服務(wù)及版本、漏洞嚴(yán)重性及利用方式、可用補丁信息或來自CSIRTs和其他機構(gòu)的緩解指南。

消息來源：安全牛 https://mp.weixin.qq.com/s/yh40VgiLyRCy19UIIIPDdA

迪奧確認(rèn)中國客戶信息遭泄露

迪奧官方客服于2025年5月13日確認(rèn)，該奢侈品牌在中國的客戶數(shù)據(jù)庫遭到未經(jīng)授權(quán)的外部方訪問，導(dǎo)致部分客戶信息泄露。據(jù)迪奧于5月12日向用戶發(fā)送的短信通知，受影響的中國客戶個人信息可能包括姓名、性別、手機號碼、電子郵箱地址、郵寄地址、消費水平、偏好，以及客戶可能已向迪奧提供的其他信息。被訪問的數(shù)據(jù)庫不包含銀行賬戶詳情、國際銀行賬戶號碼（IBAN）或信用卡信息等財務(wù)數(shù)據(jù)。
迪奧表示已采取措施防止事態(tài)擴大，并在網(wǎng)絡(luò)安全專家協(xié)助下持續(xù)調(diào)查此事件。同時，公司已向相關(guān)監(jiān)管部門進行報備。為保護客戶安全，迪奧建議客戶對任何可疑通信保持警惕，不要打開或點擊來自不明來源的鏈接，不要透露驗證碼、密碼等敏感信息，如收到可疑信息應(yīng)咨詢官方客服中心。

消息來源：中國新聞社 https://mp.weixin.qq.com/s/9toojbXPycmNctEZMN8VvA

華碩驅(qū)動管理工具安全漏洞允許惡意網(wǎng)站悄然執(zhí)行管理員級命令

獨立網(wǎng)絡(luò)安全研究員Paul發(fā)現(xiàn)華碩 DriverHub驅(qū)動管理工具存在嚴(yán)重遠程代碼執(zhí)行漏洞，允許惡意網(wǎng)站在安裝該軟件的設(shè)備上執(zhí)行命令。該軟件對發(fā)送至DriverHub后臺服務(wù)的命令驗證不足，通過利用CVE-2025-3462和CVE-2025-3463漏洞鏈，可繞過來源驗證并觸發(fā)遠程代碼執(zhí)行。

DriverHub是華碩官方驅(qū)動管理工具，在使用特定華碩主板時會在系統(tǒng)首次啟動時自動安裝。安裝后，該工具通過本地服務(wù)在端口53000上持續(xù)運行，不斷檢查重要驅(qū)動更新。該服務(wù)檢查傳入HTTP請求的Origin Header，拒絕任何非來自 “driverhub.asus.com”的請求。然而，這一檢查實現(xiàn)不當(dāng)，任何包含該字符串的站點都會被接受，即使與華碩官方門戶不完全匹配。第二個問題在于UpdateApp端點，它允許DriverHub從 “.asus.com” URL下載并運行.exe文件，無需用戶確認(rèn)。

攻擊者可以誘使用戶訪問惡意網(wǎng)站，該網(wǎng)站向本地服務(wù)發(fā)送 “UpdateApp請求”。通過將Origin Header偽裝為類似 “driverhub.asus.com.mrbruh.com” 的內(nèi)容，繞過弱驗證檢查。在研究者的演示中，命令指示軟件從供應(yīng)商下載門戶下載合法的華碩簽名 “AsusSetup.exe” 安裝程序，以及惡意.ini文件和.exe負(fù)載。華碩簽名安裝程序以管理員身份靜默運行，并使用.ini文件中的配置信息，該文件指示合法華碩驅(qū)動安裝程序啟動惡意可執(zhí)行文件。

目前華碩已實施了修復(fù)，并建議用戶盡快應(yīng)用最新更新。

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！