要聞速覽

1、國務(wù)院辦公廳印發(fā)《國務(wù)院2025年度立法工作計(jì)劃》

2、中央網(wǎng)信辦等四部門印發(fā)《2025年數(shù)字鄉(xiāng)村發(fā)展工作要點(diǎn)》

3、Google因生物識(shí)別數(shù)據(jù)侵權(quán)支付創(chuàng)紀(jì)錄13.75億美元和解金

4、歐洲漏洞數(shù)據(jù)庫正式啟動(dòng)，CVE動(dòng)蕩中的新選擇

5、迪奧確認(rèn)中國客戶信息遭泄露

6、華碩驅(qū)動(dòng)管理工具安全漏洞允許惡意網(wǎng)站悄然執(zhí)行管理員級(jí)命令

一周政策要聞

國務(wù)院辦公廳印發(fā)《國務(wù)院2025年度立法工作計(jì)劃》

2025年5月14日，國務(wù)院辦公廳印發(fā)《國務(wù)院2025年度立法工作計(jì)劃》，其中多項(xiàng)內(nèi)容和網(wǎng)絡(luò)與信息安全相關(guān)，包括制定政務(wù)數(shù)據(jù)共享?xiàng)l例，預(yù)備制定網(wǎng)絡(luò)安全等級(jí)保護(hù)條例、終端設(shè)備直連衛(wèi)星服務(wù)管理?xiàng)l例，預(yù)備修訂政府信息公開條例、互聯(lián)網(wǎng)信息服務(wù)管理辦法、反間諜法實(shí)施細(xì)則，推進(jìn)人工智能健康發(fā)展立法工作。此前公安部于2018年6月公布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》對(duì)外公開征求意見，時(shí)隔7年后，該文件終于迎來新進(jìn)展。

中央網(wǎng)信辦等四部門印發(fā)《2025年數(shù)字鄉(xiāng)村發(fā)展工作要點(diǎn)》

近日，中央網(wǎng)信辦、農(nóng)業(yè)農(nóng)村部、國家發(fā)展改革委、工業(yè)和信息化部聯(lián)合印發(fā)《2025年數(shù)字鄉(xiāng)村發(fā)展工作要點(diǎn)》（以下簡(jiǎn)稱《工作要點(diǎn)》）。

《工作要點(diǎn)》要求，深入貫徹落實(shí)習(xí)近平總書記關(guān)于“三農(nóng)”工作的重要論述和重要指示精神，全面貫徹落實(shí)黨的二十屆三中全會(huì)精神和中央經(jīng)濟(jì)工作會(huì)議、中央農(nóng)村工作會(huì)議精神，按照《中共中央 國務(wù)院關(guān)于進(jìn)一步深化農(nóng)村改革 扎實(shí)推進(jìn)鄉(xiāng)村全面振興的意見》的部署要求，深入實(shí)施《數(shù)字鄉(xiāng)村發(fā)展戰(zhàn)略綱要》，堅(jiān)持學(xué)習(xí)運(yùn)用“千萬工程”經(jīng)驗(yàn)，堅(jiān)持發(fā)揮信息化驅(qū)動(dòng)引領(lǐng)作用，錨定強(qiáng)農(nóng)惠農(nóng)富農(nóng)任務(wù)目標(biāo)，著力推動(dòng)農(nóng)業(yè)增效益、農(nóng)村增活力、農(nóng)民增收入，為加快建設(shè)網(wǎng)絡(luò)強(qiáng)國、推進(jìn)鄉(xiāng)村全面振興提供堅(jiān)實(shí)支撐。

消息來源：中華人民共和國國家互聯(lián)網(wǎng)信息辦公室 https://www.cac.gov.cn/2024-05/15/c_1717449025941328.htm

業(yè)內(nèi)新聞速覽

Google因生物識(shí)別數(shù)據(jù)侵權(quán)支付創(chuàng)紀(jì)錄13.75億美元和解金

日前，Google已同意向德克薩斯州支付13.75億美元的和解金，以解決2022年一項(xiàng)指控其未經(jīng)適當(dāng)同意收集和使用數(shù)百萬德克薩斯州居民生物識(shí)別數(shù)據(jù)的訴訟。

德克薩斯州總檢察長(zhǎng)Ken Paxton辦公室宣布這項(xiàng)和解協(xié)議，稱其為該州的"歷史性勝利"，并指出這是全美范圍內(nèi)針對(duì)Google的最高賠償金額。根據(jù)訴訟，自2015年以來，Google在未獲得用戶同意的情況下非法收集德克薩斯州居民的面部和語音掃描數(shù)據(jù)，以增強(qiáng)其定向廣告業(yè)務(wù)。此外，Google還被指控持續(xù)追蹤使用其產(chǎn)品和服務(wù)的德克薩斯州居民，不斷記錄他們的位置和在Chrome隱身模式下的搜索內(nèi)容。

Google發(fā)言人表示，此次和解涵蓋了兩個(gè)案件和三項(xiàng)索賠，所有這些都已導(dǎo)致技術(shù)巨頭產(chǎn)品和服務(wù)的變更，因此無需進(jìn)一步行動(dòng)。Google還指出，和解并不意味著承認(rèn)有不當(dāng)行為或責(zé)任。。

消息來源：GoUpSec https://baijiahao.baidu.com/s?id=1831986635929155803&wfr=spider&for=pc

歐洲漏洞數(shù)據(jù)庫正式啟動(dòng)，CVE動(dòng)蕩中的新選擇

歐洲網(wǎng)絡(luò)與信息安全局(ENISA)5月13日宣布正式啟動(dòng)歐洲漏洞數(shù)據(jù)庫(EUVD)，這一舉措在美國CVE體系面臨動(dòng)蕩之際，為全球網(wǎng)絡(luò)防御人員提供了新的選擇。在CISA最近被迫臨時(shí)延長(zhǎng)非營(yíng)利組織MITRE合同11個(gè)月后，許多機(jī)構(gòu)對(duì)CVE項(xiàng)目的長(zhǎng)期前景表示擔(dān)憂，EUVD的啟動(dòng)可謂恰逢其時(shí)。

此前處于測(cè)試階段的EUVD是根據(jù)新版NIS2指令要求開發(fā)的，其功能類似于美國國家漏洞數(shù)據(jù)庫(NVD)。EUVD將提供一個(gè)集中化的信息源，包含網(wǎng)絡(luò)安全漏洞信息、利用狀態(tài)和建議的緩解措施。漏洞信息將來自多個(gè)來源，如計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)(CSIRTs)、廠商以及現(xiàn)有數(shù)據(jù)庫，包括CISA的已知漏洞利用目錄和MITRE CVE項(xiàng)目。這些信息將自動(dòng)轉(zhuǎn)入EUVD系統(tǒng)中。

EUVD為用戶提供三個(gè)儀表板：關(guān)鍵漏洞、已被利用的漏洞，以及由歐洲CSIRTs支持的歐盟協(xié)調(diào)漏洞。每個(gè)漏洞都被賦予"EUVD"標(biāo)識(shí)符，同時(shí)列出CVE ID和其他可能的標(biāo)識(shí)，如云安全聯(lián)盟的全球安全數(shù)據(jù)庫(GSD)或GitHub安全公告(GHSA)。EUVD數(shù)據(jù)記錄包括：漏洞描述、受影響的IT產(chǎn)品或服務(wù)及版本、漏洞嚴(yán)重性及利用方式、可用補(bǔ)丁信息或來自CSIRTs和其他機(jī)構(gòu)的緩解指南。

消息來源：安全牛 https://mp.weixin.qq.com/s/yh40VgiLyRCy19UIIIPDdA

迪奧確認(rèn)中國客戶信息遭泄露

迪奧官方客服于2025年5月13日確認(rèn)，該奢侈品牌在中國的客戶數(shù)據(jù)庫遭到未經(jīng)授權(quán)的外部方訪問，導(dǎo)致部分客戶信息泄露。據(jù)迪奧于5月12日向用戶發(fā)送的短信通知，受影響的中國客戶個(gè)人信息可能包括姓名、性別、手機(jī)號(hào)碼、電子郵箱地址、郵寄地址、消費(fèi)水平、偏好，以及客戶可能已向迪奧提供的其他信息。被訪問的數(shù)據(jù)庫不包含銀行賬戶詳情、國際銀行賬戶號(hào)碼（IBAN）或信用卡信息等財(cái)務(wù)數(shù)據(jù)。
迪奧表示已采取措施防止事態(tài)擴(kuò)大，并在網(wǎng)絡(luò)安全專家協(xié)助下持續(xù)調(diào)查此事件。同時(shí)，公司已向相關(guān)監(jiān)管部門進(jìn)行報(bào)備。為保護(hù)客戶安全，迪奧建議客戶對(duì)任何可疑通信保持警惕，不要打開或點(diǎn)擊來自不明來源的鏈接，不要透露驗(yàn)證碼、密碼等敏感信息，如收到可疑信息應(yīng)咨詢官方客服中心。

消息來源：中國新聞社 https://mp.weixin.qq.com/s/9toojbXPycmNctEZMN8VvA

華碩驅(qū)動(dòng)管理工具安全漏洞允許惡意網(wǎng)站悄然執(zhí)行管理員級(jí)命令

獨(dú)立網(wǎng)絡(luò)安全研究員Paul發(fā)現(xiàn)華碩 DriverHub驅(qū)動(dòng)管理工具存在嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞，允許惡意網(wǎng)站在安裝該軟件的設(shè)備上執(zhí)行命令。該軟件對(duì)發(fā)送至DriverHub后臺(tái)服務(wù)的命令驗(yàn)證不足，通過利用CVE-2025-3462和CVE-2025-3463漏洞鏈，可繞過來源驗(yàn)證并觸發(fā)遠(yuǎn)程代碼執(zhí)行。

DriverHub是華碩官方驅(qū)動(dòng)管理工具，在使用特定華碩主板時(shí)會(huì)在系統(tǒng)首次啟動(dòng)時(shí)自動(dòng)安裝。安裝后，該工具通過本地服務(wù)在端口53000上持續(xù)運(yùn)行，不斷檢查重要驅(qū)動(dòng)更新。該服務(wù)檢查傳入HTTP請(qǐng)求的Origin Header，拒絕任何非來自 “driverhub.asus.com”的請(qǐng)求。然而，這一檢查實(shí)現(xiàn)不當(dāng)，任何包含該字符串的站點(diǎn)都會(huì)被接受，即使與華碩官方門戶不完全匹配。第二個(gè)問題在于UpdateApp端點(diǎn)，它允許DriverHub從 “.asus.com” URL下載并運(yùn)行.exe文件，無需用戶確認(rèn)。

攻擊者可以誘使用戶訪問惡意網(wǎng)站，該網(wǎng)站向本地服務(wù)發(fā)送 “UpdateApp請(qǐng)求”。通過將Origin Header偽裝為類似 “driverhub.asus.com.mrbruh.com” 的內(nèi)容，繞過弱驗(yàn)證檢查。在研究者的演示中，命令指示軟件從供應(yīng)商下載門戶下載合法的華碩簽名 “AsusSetup.exe” 安裝程序，以及惡意.ini文件和.exe負(fù)載。華碩簽名安裝程序以管理員身份靜默運(yùn)行，并使用.ini文件中的配置信息，該文件指示合法華碩驅(qū)動(dòng)安裝程序啟動(dòng)惡意可執(zhí)行文件。

目前華碩已實(shí)施了修復(fù)，并建議用戶盡快應(yīng)用最新更新。

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！