图书信息中心
信息安全
 
教育网络安全动态2022年1月第1期(2022.1.1-1.6)
添加日期:2022-03-02  来源:教育网络信息安全

教育网络安全动态

2022年1月第1期(2022.1.1-1.6)

 

一、政策要闻

 

1.国家互联网信息办公室等十三部门修订发布《网络安全审查办法》

近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度,原《办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。国家互联网信息办公室有关负责人表示,《办法》修订对保障国家网络安全和数据安全具有重要意义。

(来源:网信中国)

2.国家互联网信息办公室等四部门发布《互联网信息服务算法推荐管理规定》

近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》),自2022年3月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在规范互联网信息服务算法推荐活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。在互联网信息服务领域出台具有针对性的算法推荐规章制度,是防范化解安全风险的需要,也是促进算法推荐服务健康发展、提升监管能力水平的需要。

(来源:网信中国)

3.信安标委发布《网络安全标准实践指南——网络数据分类分级指引》

为贯彻落实《数据安全法》提出的“国家建立数据分类分级保护制度”要求,信安标委秘书处组织编制了《网络安全标准实践指南——网络数据分类分级指引》。本《实践指南》依据法律法规和政策标准相关要求,给出了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。

(来源:信安标委)

4.国家互联网信息办公室发布关于《移动互联网应用程序信息服务管理规定(征求意见稿)》公开征求意见的通知

为了进一步规范移动互联网应用程序信息服务管理,促进行业健康有序发展,保障公民、法人和其他组织的合法权益,营造清朗网络空间,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律规定,国家互联网信息办公室对2016年8月1日正式施行的《移动互联网应用程序信息服务管理规定》进行了修订,现向社会公开征求意见。

(来源:网信中国)

 

二、技术资讯

 

5. CNNVD 关于Apache Apisix 授权问题漏洞的预警

近日,国家信息安全漏洞库(CNNVD)收到关于Apache Apisix 授权问题漏洞(CNNVD-202112-2629、CVE-2021-45232)情况的报送。成功利用漏洞的攻击者,可以在未经授权的情况下获取或更改设备的配置信息,进而构造恶意数据对目标设备进行攻击。Apache APISIX Dashboard 2.10及其之前版本均受此漏洞影响。目前,Apache官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

(来源:国家漏洞库CNNVD )

6.地铁安防门被曝存在多个严重的安全漏洞

全球领先的安全研究团队Talos近日发现,Garrett 金属探测器的网络组件中存在许多严重的安全漏洞。这些漏洞可能允许远程攻击者绕过身份验证要求、篡改金属探测器配置,甚至在设备上执行任意代码。Garrett是美国著名金属探测器品牌,旗下有多款产品,包括手持式金属探测器、拱形金属探测器等,被广泛应用于机场、地铁、学校、法院、监狱、娱乐场所等多个场景。Talos在近日的一份安全报告中指出,利用这些漏洞,攻击者可以操控该模块,实现远程监控金属探测器的目标,并窃取其统计数据,比如有多少用户经过了该安防门,又有多少用户触发了警报等。同时攻击者还可以远程更改安防门的配置,例如提高或降低设备的灵敏度,这将会给很多依赖金属探测器的企业和用户带来安全风险。”

(来源:FreeBuf )

7.苹果iOS曝doorLock漏洞,能让手机变砖

据BleepingComputer网站报道,在苹果Apple HomeKit 中发现了一个名为doorLock的新型持续拒绝服务漏洞,影响的系统版本从iOS14.7到iOS15.2。Apple HomeKit 是苹果推出的智能家居平台,用户可通过 iPhone 和 iPad设备控制智能家电。根据公开披露的细节,苹果自 2021 年 8 月 10 日起就知道该漏洞,尽管承诺会将其修复,但至今依然悬而未决。据研究人员称,苹果公司对此漏洞的修复时间预计是2022年初,将通过系统的安全更新来完成。

(来源:FreeBuf)

8.微软紧急推送修复服务器远程桌面BUG更新

微软今天刚刚发布带外(Out of Band, OOB) 更新,其中的Windows Server可能会遇到黑屏,有缓慢的迹象,或一般缓慢。微软声称您也可能无法使用远程桌面访问服务器。在某些情况下,服务器可能会停止响应。受影响的平台包括:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2。值得注意的是,解决此问题的更新无法从Windows更新中自动获得,且不会自动安装在受影响的系统上。这意味着你需要手动下载独立更新包自行更新。您还可以从Microsoft 更新目录下载更新。企业管理员可以使用Microsoft Update Catalog中提供的说明手动将此更新导入Windows Server Update Services (WSUS) 。

(来源:微软官网)

 

三、国际视野

 

9.美国无线运营商 UScellular批露了发生在年末的数据泄露事件

据Security affairs网站报道,美国最大的无线运营商之一UScellular披露了一起发生在去年12月份的数据泄露事件。据该公司调查,事件发生在12月13日-19日之间,攻击者未经授权访问其计费系统,导致与客户账户相关的数据暴露,包括姓名、地址、PIN 码和移动电话号码以及有关无线服务的信息。攻击者试图利用这些信息来欺诈性地移植号码。

UScellular透露,有405名客户受此次攻击的影响。事后,公司为每个受影响的客户重置了登录凭据,并立即修改了PIN码和安全验证问题。

(来源:FreeBuf)

10.葡萄牙最大媒体集团遭勒索软件攻击,网站瘫痪

新年伊始,葡萄牙最大的电视台和报纸媒体Impresa就遭到勒索软件攻击而瘫痪,这也是国家级媒体服务首次因勒索软件攻击而长时间中断。这次攻击波及媒体巨头Impresa旗下的主要网站,据悉,受影响的是对Impresa运营至关重要的服务器基础设施。此次攻击表明,2021年勒索软件攻击的迅猛势头在新的一年没有任何放缓的迹象。

(来源:安全内参)

11.Skype改版后注册需完成超难验证码10次

前不久,Skype改版后换新了注册验证码,然而看似简单的小举措,却成为了新用户注册的难关。原来,Skype改版后,注册验证码要求用户先行解决一个复杂的难题十次。经验证,将Skype下载到设备上后,系统会提示用户使用现有的Microsoft帐户登录或注册,这时,如果想要通过Skype 应用程序注册新的Microsoft帐户,Skype会提供一个十分复杂验证码,至于这个验证码有多复杂,它要求用户不断旋转显示图像,直到指向随机方向箭头的球体,达到剩下正好2个箭头,准确指向上方,且这一验证过程需要重复十次,才算完成。

(来源:汇能云安全)

 

以上内容不代表本部门观点,如有侵权请及时联系我们。



上一篇:教育网络安全动态2022年1月第2期(2022.1.7-1.13)
下一篇:教育网络安全动态2021年12月第4期(2021.12.17-2021.12.30)
 
友情链接
万方检测
成都市人民政府
四川省人民政府
四川省教育厅
学院门户主站
地址:成都市郫都区安德街道彭温路399号 招生代码:5183 网站:www.erveina.com
Copyright © 2015-2023 SCRC.EDU.CN 银河集团9873 - 银河体育官方登录入口版权所有 蜀ICP备15030541号-3
川公网安备 51012402000244号
Baidu
sogou