一周网安动态
Weekly Network Security
2023-04-10 周一
20230403-20230409
LEISHI
# 内容预览 #
政策法规
1、科技部公开征求对《科技伦理审查办法(试行)》的意见
安全事件
1、CNNVD发布漏洞赏金计划
2、谷歌将要求 Android 应用程序能够让用户删除自身账户
3、研究人员利用 ChatGPT 构建无法检测的隐写术恶意软件
4、微软修复了影响必应搜索和主要应用程序的新Azure AD漏洞
5、惠普将在 90 天内修补 LaserJet 打印机中的严重错误
6、YouTube 归因链接在新的网络钓鱼活动中被利用
7、Google TAG 警告与朝鲜有关的 ARCHIPELAGO 网络攻击
8、美媒曝光!美国政府用间谍软件监控世界各地手机用户!德国前总理、法国多任总统被监听
9、特斯拉前员工透露:公司内部会传播车主的敏感视频
10、谷歌打击“流氓”借贷 App:限制访问用户通讯录、照片和地理位置等个人信息
漏洞情报
1、SonicOS 拒绝服务漏洞安全风险通告
# 政策法规 #
01
科技部公开征求对《科技伦理
审查办法(试行)》的意见
为贯彻落实《关于加强科技伦理治理的意见》,加强科技伦理审查和监管,促进负责任创新,科技部牵头,会同相关部门研究起草了《科技伦理审查办法(试行)》,现向社会公开征求意见。公众可通过以下途径和方式提出意见:
三、通过传真方式将意见发送至:010-58884337。
消息来源:
# 安全事件 #
01
CNNVD发布漏洞赏金计划
“CNNVD漏洞奖励计划”面向对象是为CNNVD报送漏洞的企业、团队以及个人,奖励其报送的高质量漏洞。CNNVD对接报的通用型漏洞,按相关标准和程序进行验证研判和危害评估,经专家审议后筛选出符合条件的漏洞,对报送者发放相应奖励。
消息来源:
https://www.freebuf.com/news/362674.html
02
谷歌将要求 Android 应用程序
能够让用户删除自身账户
谷歌宣布了一项新的 Google Play 商店数据删除政策,该政策将要求 Android 开发者为用户提供在线选项,以删除他们的帐户和应用内数据。
消息来源:
https://www.bleepingcomputer.com/news/google/google-will-require-android-apps-to-let-you-delete-your-account/
03
研究人员利用 ChatGPT 构建
无法检测的隐写术恶意软件
一名安全研究人员诱使 ChatGPT 构建复杂的数据窃取恶意软件,基于签名和基于行为的检测工具将无法发现这种恶意软件,从而避开了聊天机器人的反恶意使用保护。
消息来源:
https://www.darkreading.com/attacks-breaches/researcher-tricks-chatgpt-undetectable-steganography-malware
04
微软修复了影响必应搜索和
主要应用程序的新Azure AD漏洞
Microsoft 已修补影响 Azure Active Directory (AAD) 标识和访问管理服务的错误配置问题,该问题将多个“高影响”应用程序暴露给未经授权的访问。
消息来源:
https://thehackernews.com/2023/04/microsoft-fixes-new-azure-ad.html
05
惠普将在 90 天内修补 LaserJet
打印机中的严重错误
惠普本周在一份安全公告中宣布,修复影响某些企业级打印机固件的严重漏洞最多需要 90 天,该安全问题被追踪为 CVE-2023-1707。
消息来源:
https://www.bleepingcomputer.com/news/security/hp-to-patch-critical-bug-in-laserjet-printers-within-90-days/
06
YouTube 归因链接在新的
网络钓鱼活动中被利用
网络安全公司 Vade 表示,使用 YouTube 归因链接是一种绕过电子邮件过滤器扫描可疑重定向的新策略。
消息来源:
https://cybernews.com/news/youtube-attribution-phishing-campaign/
07
Google TAG 警告与朝鲜有关的
ARCHIPELAGO 网络攻击
微软推出了微软事件响应保留器,允许客户在网络安全危机之前、期间和之后预付并依靠微软事件响应者的帮助。
消息来源:
https://www.helpnetsecurity.com/2023/03/29/microsoft-incident-response-retainer/
08
美国政府用间谍软件监控世界各地手机
用户!德国前总理、法国多任总统被监听
据美国《纽约时报》4月2日报道,美国政府通过第三方公司,在2021年11月8日与以色列间谍软件公司NSO集团在美国的分支机构签署秘密合同。根据合同的约定,NSO将向美国政府提供间谍软件,用于秘密跟踪身处世界各地的手机用户。
消息来源:
09
特斯拉前员工透露:公司
内部会传播车主的敏感视频
据路透社报道,多位特斯拉前员工透露,特斯拉团队经常会在内部分享来自车主的视频和照片等敏感信息。
消息来源:
https://www.reuters.com/technology/tesla-workers-shared-sensitive-images-recorded-by-customer-cars-2023-04-06/
10
谷歌打击“流氓”借贷 App:限制访问
用户通讯录、照片和地理位置等个人信息
据报道,最近一段时间,作为安卓生态的管理者,谷歌公司遭到了一些批评,即纵容网络借贷平台的应用软件胡作非为,在消费者手机上大肆采集数据,进行骚扰和敲诈。据悉,谷歌已经开始采取措施打击这些借贷应用,禁止它们访问借款人手机中的通讯录、照片、地理位置等信息。
消息来源:
https://www.ithome.com/0/684/863.htm
# 漏洞情报 #
01
SonicOS 拒绝服务漏洞
安全风险通告
近日,奇安信CERT监测到 SonicOS 拒绝服务漏洞,SonicOS 中存在栈溢出漏洞允许未经身份验证的远程攻击者通过发送特制HTTP请求造成栈溢出,覆盖canary,导致防火墙崩溃重启。目前已监测到该漏洞细节及PoC在互联网公开,经研判该PoC稳定有效。鉴于该漏洞影响范围极大,建议客户尽快做好自查及防护。
消息来源:
END
一周网安咨询由雷石安全实验室汇总整理
信息来源:
freebuf、安全客、安全内参、中国信息安全、
cnbeta、seebug,hacknews
如有侵权请联系:admin#unsafe.sh