特别关注

中央军委主席习近平签署命令，发布新修订的《军队审计条例》

中央军委主席习近平日前签署命令，发布新修订的《军队审计条例》，自2024年7月1日起施行。

《条例》深入贯彻习近平强军思想，积极适应面临的新形势新任务新要求，对新时代军队审计工作的总体要求、事项权限和程序机制等作出进一步系统规范，对于更好发挥审计监督服务作用、保障国防和军队建设高质量发展，具有重要意义。

《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》公开征求意见

日前，根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，全国网络安全标准化技术委员会秘书处组织对《网络安全标准实践指南——敏感个人信息识别指南（征求意见稿）》面向社会公开征求意见。如有意见或建议，请于2024年6月24日前反馈至秘书处。

原文链接：

https://www.tc260.org.cn/front/postDetail.html?id=20240611204152

民航局就《民航数据管理办法》《民航数据共享管理办法》征求意见

日前，为落实数字中国建设整体部署，进一步加强和规范民航数据管理，保障数据安全，促进数据共享，激发数据价值，提升行业治理能力和服务水平，更好支撑民航高质量发展，智慧民航建设领导小组办公室组织编制了《民航数据管理办法》《民航数据共享管理办法》两部办法。两部办法充分参考国家数据管理有关规定，并结合民航实际，对民航行业数据管理等进行了详细规定。现面向全社会征求意见，任何单位和个人如有意见和建议，请于2024年6月19日前反馈至[email protected]。原文链接：
http://www.caac.gov.cn/HDJL/YJZJ/202406/t20240604_224377.html

热点观察

物联网设备缺陷成为网络攻击活动的关键切入点

根据Forescout公司最新发布的《2024年最高风险联网设备》报告，物联网设备中存在缺陷的数量较去年同期猛增136%，从2023年的14% 上升到2024年的33%。

该报告分析了近1900万台设备的数据，发现最易受到缺陷影响的是物联网设备类型，包括无线接入点、路由器、打印机、VoIP和IP摄像头。此外，医疗物联网（IoMT）设备也成为重大风险，5%的设备存在缺陷。同时，已经有记录的勒索软件攻击案例影响了药品分发系统的可用性，从而导致患者治疗延迟。

报告指出，IoMT已经超越了工控系统（OT），成为风险最高的设备类别。IT设备占总设备缺陷的58%，但与2023年的78%相比有显著下降。网络基础设施设备是最高风险的IT设备类别，超过了终端设备。某些IT设备类别出现下降，而其他类别出现增加，攻击者更关注那些通常没有管理的设备，如无线接入点和路由器。在工控环境中，最高风险设备类型包括不间断电源（UPS）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、机器人和楼宇管理系统（BMS）。

据悉，Meta正面临关于隐私问题的更多审查，隐私权倡导组织欧洲数字权利中心（NOYB）已在11个国家对Meta使用个人数据训练其人工智能模型的计划提出了投诉。NOYB呼吁各国监管机构立即采取行动反对Meta，理由是Meta的隐私政策修改将于6月26日生效，将允许使用广泛的个人数据，包括帖子、私人图像和跟踪信息，来训练其人工智能技术。

NOYB在一份声明中表示，与公司使用某些（公开）数据训练特定人工智能系统（如聊天机器人）的已有问题情况不同，Meta的新隐私政策基本上说，该公司想要利用自2007年以来收集的所有公开和非公开用户数据，用于任何未定义的当前和未来的人工智能技术。这包括用户几乎不再互动的许多休眠Facebook账户，但这些账户仍包含大量个人数据。这一投诉突出了更广泛的隐私问题，并提出了模型用户或模型创造者是否应对隐私规则的合规性负责的问题。

原文链接：
https://www.csoonline.com/article/2139087/complaints-in-eu-challenge-metas-plans-to-utilize-personal-data-for-ai.html

微软、谷歌等科技巨头将帮助美国农村医院抵御网络攻击

日前，微软和谷歌宣布计划为美国各地的农村医院提供免费的网络安全服务。这些举措来自于美国医疗保健行业面临的勒索软件攻击激增，去年攻击次数增加了一倍多，给患者护理和医院运营带来了严重威胁。这个项目是与白宫、美国医院协会和全国农村卫生协会合作开发的，旨在帮助农村医院变得不那么防卫薄弱，为他们提供免费的安全更新、安全评估以及员工培训。

该计划将提供以下免费和低价的技术服务:

ㆍ为独立的关键通道医院和农村应急医院提供非营利定价和高达75%的微软安全产品折扣;

ㆍ已配备合格微软解决方案的大型农村医院将免费获得高级安全套件;

ㆍ向参与的农村医院免费提供至少1年的Windows 10安全更新;

ㆍ向医院员工免费提供网络安全评估和培训，以帮助他们更好地管理系统安全;

与微软的努力并举，谷歌也宣布将向农村医院和非营利组织提供免费的网络安全建议，同时还启动了一项试点计划，将其网络安全服务与农村医疗机构的具体需求相匹配。这些计划是美国政府更广泛努力的一部分，旨在利用微软和谷歌等私营合作伙伴和科技巨头的专业知识，填补医疗保健行业防御能力的重大缺口。

原文链接：

https://thecyberexpress.com/microsoft-google-rural-hospitals-cybersecurity/

网络攻击

Cisco Finesse管理界面中发现多个安全缺陷

日前，Cisco（思科）发布了一份安全通告，Cisco Finesse 基于 Web 的管理界面存在多个缺陷，被识别为 CVE-2024-20404 和 CVE-2024-20405。这些缺陷可能允许未经身份验证的远程攻击者执行存储型跨站脚本（XSS）攻击。具体来说，这些缺陷涉及远程文件包含（RFI） 缺陷和服务器端请求伪造（SSRF） 攻击。存储型 XSS 攻击可通过利用 RFI 缺陷执行，而 SSRF 攻击可通过Cisco Finesse基于Web的管理界面在受影响的系统上进行。

思科将这些缺陷的安全影响评级（SIR）评为中等，主要是因为攻击者能访问的信息范围有限。根据通用缺陷评分系统（CVSS）的计算，这些缺陷的基础分数为7.2，向量字符串为 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N。这表明这些缺陷可通过网络进行利用，需要的攻击复杂度较低，不需要权限或用户交互，但对机密性和完整性的影响有限。思科已发布软件更新来解决这些缺陷，建议用户升级到修复版本以降低这些缺陷带来的风险。修复版本如下:11.6（1）ES11 及更早版本:升级到修复版本；12.6（2）ES01及更早版本：升级到 12.6（2）ES03。目前没有针对这些缺陷的临时解决方案，因此及时应用提供的更新非常重要。

原文链接：

《纽约时报》遭遇网络攻击，270G内部数据或泄露

日前，一名自称匿名黑客在网上发帖称，他们已获取并泄露了约270GB的《纽约时报》源代码。据Infosecurity报道，这名黑客在一个流行的图像板网站上发帖称，这批泄露内容包括”基本上所有的源代码”，共有大约5000个代码库，360万个文件。该黑客呼吁他人帮助播种，称现有的种子盒可能不够。

《纽约时报》对此表示，今年1月曾发生一起安全事故，一个”基于云的第三方代码平台”的访问凭证被意外公开，他们迅速发现并对此进行了补救，并表示没有发现任何未经授权访问时报内部系统或影响业务运营的情况。

https://www.infosecurity-magazine.com/news/threat-actor-leak-270gb-new-york/

Arm警告Mali GPU内核驱动程序存在缺陷

近日，Arm发布了一份安全通告，警告其Bifrost和Valhall GPU内核驱动程序存在一个严重的内存相关缺陷。这个缺陷被追踪为CVE-2024-4610，是一个使用后释放（Use-After-Free，UAF）缺陷，影响了从r34p0到r40p0的所有版本的这两款驱动程序。UAF缺陷会导致程序在内存位置被释放后继续使用指针，可能导致信息泄露和任意代码执行。Arm表示，一个本地非特权用户可以通过进行不当的GPU内存处理操作来访问已释放的内存，可能使数百万台设备遭受恶意攻击。

由于Android设备供应链的复杂性，许多最终用户可能会在很长一段时间内才能获得修补过的驱动程序。这是因为设备制造商需要将Arm的安全更新集成到固件中，有时还需要通过运营商的审批，而一些厂商可能会将重点放在较新的设备上，停止对较旧设备的支持。受影响的设备包括使用Bifrost GPU的智能手机/平板、单板计算机、Chromebook和各种嵌入式系统，以及使用Valhall GPU的高端智能手机/平板、汽车信息娱乐系统和高性能智能电视。由于一些设备可能已经不再提供安全更新支持，用户需要格外注意，尽快升级到受影响驱动程序的最新版本。

原文链接：

https://www.bleepingcomputer.com/news/security/arm-warns-of-actively-exploited-flaw-in-mali-gpu-kernel-drivers/

产业动态

Apple将推出独立的密码管理器

原文链接：

近期，微软宣布了其新推出的Copilot+ PC系列，其中包含一项名为Microsoft Recall 的AI功能，旨在帮助全球数亿客户简化日常生活。然而，该功能在发布之前就遭到了安全专业人士的强烈批评，他们担心其数据收集实践可能存在隐私风险，并质疑其缺乏针对黑客和安全专家的创新性。在广受批评后，微软终于宣布对该功能进行重大更新。根据微软Windows + 设备部门副总裁 Pavan Davuluri 的博客文章，未来Copilot+ PC的设置体验将提供更清晰的选择，以选择使用Recall 保存快照。默认情况下，该功能将处于关闭状态，只有当用户主动选择启用时才会生效。

此外，微软表示，启用Recall功能还需要用户进行Windows Hello 注册，并提供生物识别的安全证明。数据库本身也将获得额外的数据保护层，包括”及时”解密，并受到 Windows Hello 增强登录安全性（ESS）的保护，索索引数据库也将被加密。这些变化旨在使试图泄露 Recall 数据库并访问其内容的人变得更加困难。即使是 Windows 11 PC 上的管理员也无法在未经用户同意的情况下访问其他用户数据库的内容。这些更改都是在Copilot+ PC正式发售之前就已经完成的。据推测，这将使微软开发团队能够处理来自购买了第一代Copilot+ PC的少数尖端Windows用户的更多反馈。 即使Copilot+ PC 于6月18日发售，该功能也将仅作为预览版提供，正式发布日期尚未确定。

原文链接：

https://www.zdnet.com/article/after-brutal-critiques-microsoft-recall-will-get-these-major-privacy-and-security-changes/