ISC2021成功举办;HP、三星、Xerox打印机驱动中存在高危漏洞;美英澳联合发布漏洞调查报告 | 一周安全头条
星期一, 八月 2, 2021
上周安全热点回顾
工信部通报今年第7批未落实开屏弹窗信息骚扰用户问题整改的14款APP名单;互联网行业专项整治行动宣贯部署会在京召开;第九届互联网安全大会(ISC 2021)在北京国家会议中心开幕;中国信通院发布《区块链基础设施研究报告(2021年)》;虎符网络正式完成数千万元Pre-A轮融资;Zimbra新漏洞或造成20万家企业数据泄漏;国外出行行业陷风波,Uber被控违反隐私法;EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞,或影响数千企业;Clubhouse被曝“非法窃取”超38亿电话号码;HP、三星、Xerox打印机驱动中存在高危漏洞,影响数百万打印机;美英澳联合发布2020-2021期间遭利用最多的Top 30漏洞报告。
国内
1、工信部通报14款未完成整改的APP
前期,工业和信息化部针对用户反映强烈投诉较多的开屏弹窗信息骚扰用户等违规行为进行了集中整治,督促企业重视用户诉求,解决好在开屏信息页面中存在利用文字、整屏图片、视频等方式欺骗误导用户跳转等问题。
近期,工业和信息化部在对该问题“回头看”中,依然发现部分企业“有令不行、有禁不止”,存在问题整改不彻底、将整改过的问题改回原样、采取技术手段对抗针对不同地区差异化整改的情况。检测发现,14款APP未严格落实整改要求(详见附件),上述APP应在8月3日前完成彻底整改工作。逾期不整改的或整改不到位的,工业和信息化部将依法依规组织开展相关处置工作。
通报名单详情点击:
工信部通报14款未严格落实开屏弹窗信息骚扰用户问题整改要求的APP
2、互联网行业专项整治行动宣贯部署会在京召开
7月30日,工业和信息化部信息通信管理局在京召开互联网行业专项整治行动宣贯部署会,面向主要互联网平台企业进行政策解读和宣贯部署。赵志国局长主持会议并做动员部署。
北京市通信管理局、中国信息通信研究院、中国互联网协会有关负责同志,阿里巴巴、腾讯、字节跳动、拼多多、百度、新浪微博、快手、京东、华为、滴滴、美团、OPPO、VIVO、小米、哔哩哔哩、360、苏宁、携程、58同城、知乎、陌陌、小红书、网易、WIFI万能钥匙、墨迹天气等主要互联网平台企业负责人均参加了本次会议。
会议详情点击:
3、2021第九届互联网安全大会开幕
7月27日,第九届互联网安全大会(简称ISC 2021)在北京国家会议中心开幕。
ISC大会主席、360创始人、董事长周鸿祎发表了主题为《面向未来的新一代安全能力框架》的演讲,他表示:数字化的本质就是软件定义世界,城市、汽车、网络都将由软件定义。这也意味着数字化让整个网络安全环境更加脆弱,安全风险更加无处不在,整个世界更易攻击,造成危害也更大。因此,网络安全需要一套新战法和新框架。
本次会议为期三天,共有1场未来峰会,9大联合峰会,1场千人生态大会,2场特色活动以及30余场分论坛,堪称国内安全行业的“饕餮盛宴”。
大会详情了解:
4、中国信通院发布《区块链基础设施研究报告(2021年)》
近日,中国信息通信研究院(以下简称“中国信通院”)在“2021年中国互联网大会链网协同创新发展论坛”上发布了《区块链基础设施研究报告(2021年)》。
该报告重点对“区块链究竟是不是新型基础设施”“区块链基础设施由哪些要素组成”“区块链基础设施如何发展”“区块链基础设施面临何种挑战”“区块链基础设施将怎样演进”等关键问题进行了分析和阐述,希望能够有助于产业界和学术界凝聚共识,更好地发挥区块链作为基础设施的作用和功能,为技术和产业变革提供创新动力。
报告详情了解:
5、虎符网络完成数千万Pre-A轮融资
近日,虎符网络正式完成数千万元Pre-A轮融资,由凯泰资本和盈动资本共同投资,高远资本为本轮融资提供独家财务顾问服务。
虎符网络成立于2019年底,是一家以阿里系和海归系为核心的新一代网络安全公司。公司成立后半年,即获得投资机构的青睐,完成近千万元的天使轮融资。
基于“聚焦零信任安全,构建身份网络,重塑企业安全”的产品理念,虎符网络已发布了虎盾系列安全产品:虎盾零信任远程访问系统、虎盾零信任Web访问系统,广泛应用于有赞、国家电网、大数据等多家行业标杆企业。
融资详情了解:
国际
1、美英澳联合发布漏洞调查报告
澳大利亚网络安全中心 (ACSC)、英国国家网络安全中心 (NCSC)、美国网络安全和基础设施安全局 (CISA) 和美国联邦调查局 (FBI) 联合发布安全调查公告。报告包括2020年间利用频率最高的漏洞清单和2021年遭利用的漏洞清单。
这些漏洞影响大量产品,如 VPN 设备、邮件服务器、web 企业应用和桌面软件的网络访问网关。调查的初衷是希望私有企业和政府机构能够更加关注并修复易受上述清单中漏洞影响的设备,将恶意人员利用的风险降到最低。
报告详情了解:
美英澳联合发布2020-2021期间遭利用最多的Top 30漏洞
2、EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞
日前三大热门开源软件——EspoCRM、Pimcore和Akaunting被曝存在九个安全漏洞。据了解,这些开源软件已被广泛应用于数千家企业用户,是支持其服务和云托管工作的核心应用程序。如果这些漏洞被攻击者成功利用,可能会为更复杂的攻击提供途径。
幸运的是,研究人员指出:“用户可以通过更新应用程序版本来解决上述安全问题。对于无法更新的用户,也可以通过隐藏其生产实例来减少威胁暴露面,只需要将生产实例暴露给公司内部网络中的可信人员。”
新闻详情了解:
3、安全专家披露了Zimbra中的两个开源新漏洞
Zimbra是一套开源协同办公套件,包括WebMail、日历、通信录、Web文档管理和创作。它通过将终端用户的信息和活动连接到私有云中,为用户提供了最具创新性的消息接收体验,因此每天有超过20万家企业和1000多家政府、金融机构使用Zimbra与数百万用户交换电子邮件。
SonarSource的专家近期披露了开源Zimbra代码中的两个漏洞。这些漏洞可能使未经身份验证的攻击者破坏目标企业的Zimbra网络邮件服务器。借此,攻击者就可以不受限制的访问所有员工通过Zimbra传输的电子邮件内容。
新闻详情了解:
4、高危漏洞CVE-2021-3438影响数百万台打印设备
SentinelLabs研究人员在HP、三星、Xerox打印机驱动中发现一个漏洞——CVE-2021-3438,CVSS评分8.8分,由于有漏洞的打印机驱动从2005年开始发布,因此共有数百万打印机受到该漏洞的影响,目前漏洞已经修复。
新闻详情了解:
5、国外出行行业陷风波,Uber被控违反隐私法
7月23日,澳大利亚信息专员办公室(Australian Information Commissioner,OAIC)发布了一份关于其对Uber 2016年极具争议的违规事件的调查报告,确认Uber侵犯了超百万澳大利亚人的隐私。
由于这件“陈年旧案”,Uber第四次遭到了安全控告。此前,Uber已经因为该事件受到了来自美国、英国和荷兰的处罚。由此也不难看出,数据安全在全球的重视程度都在不断加深,同时也在警醒着出海企业要做好数据的安全防护,避免出现这种被多面处罚的局面。
新闻详情了解:
6、Clubhouse被曝“非法窃取”用户信息
近日,一名黑客在某论坛上开始出售据称包含了38亿个电话号码的Clubhouse秘密数据库,而且该款软件在国内也拥有一定数量的用户。根据黑客的说法,Clubhouse公司在其出售的秘密数据库中非法窃取了每个用户的电话簿。
早在今年4月,Clubhouse就被指控泄漏了130万用户的个人信息,包括:ID、姓名、用户名、Twitter用户名、Instsgram用户名等,当时Clubhouse发布声明表示这些数据都是公开可用的,他们的系统并未遭到破坏,一波未平一波又起,本次事件发展形式如何还尚待分晓。
新闻详情了解: