要闻速览

1、《联合国打击网络犯罪公约》将提交联大表决，我国发挥关键作用

2、国家标准《信息技术 大数据 数据治理实施指南》将于2024年12月1日正式实施

3、AMD曝出“超级权限漏洞”，数亿设备面临威胁

4、GitHub全球宕机，微软Copilot同时瘫痪

5、通用汽车因非法收集和出售驾驶者隐私数据遭起诉

6、英国一核设施曝出严重网络安全失误，已造成国家安全威胁

一周政策要闻

《联合国打击网络犯罪公约》将提交联大表决，我国发挥关键作用

近日，联合国打击网络犯罪公约特委会顺利通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》（简称《联合国打击网络犯罪公约》)。该条约接下来将于秋季提交联合国大会进行投票。由于投票国家与之前相同，预计该条约将在联合国大会顺利通过。

我国一贯倡导并支持在联合国谈判制定关于打击网络犯罪的全球性公约，并于2019年共同提出关于启动公约谈判的联大第74/247号决议。2022年以来，中国作为特委会副主席国，以网络空间命运共同体理念为引领，旗帜鲜明倡导加强打击网络犯罪国际合作，支持强化发展中国家能力建设，并在谈判中与各方开展建设性对话，引导各方展现灵活，为最终谈成公约发挥关键作用。

据了解，该公约是网络领域首个由联合国主持制定的普遍性国际公约，将在全球范围内为打击网络犯罪国际合作提供法律框架，对网络空间国际法发展有重大意义。

信息来源：信息安全国家工程研究中心https://mp.weixin.qq.com/s/37x_wjRmYDwTibY_2G61HA

国家标准《信息技术 大数据 数据治理实施指南》将于2024年12月1日正式实施

国家标准《信息技术 大数据 数据治理实施指南》GB/T 44109-2024的发布与实施，是我国数据安全治理体系迈向成熟的重要标志。据悉，该标准将于2024年12月1日正式实施。

该标准规定了数据治理实施过程框架，从数据治理的规划、执行、评价、改进等方面进行了全面系统的阐述，为各企业、机构的数据治理实施提供了有力的支持。

消息来源：中国信息协会大数据分会  https://www.ciiabd.org.cn/articles/R9xxD9.html

业内新闻速览

AMD曝出“超级权限漏洞”，数亿设备面临威胁

在2024年度Defcon黑客大会上，安全公司IOActive的研究员披露了AMD处理器的一个名为“Sinkclose”的难以修复的严重漏洞。这一漏洞影响了自2006年以来发布的几乎所有AMD处理器，这意味着数以亿计的笔记本、台式机和服务器等设备都可能成为潜在的攻击目标。

“Sinkclose”漏洞的严重性在于，它允许攻击者将权限从操作系统的最高权限级别（ring 0，即操作系统内核）提升至处理器的最高特权模式——系统管理模式（System Management Mode, SMM）。在这一模式下，攻击者可以执行恶意代码，并在系统固件中植入难以检测和移除的恶意软件。更为严重的是，这种恶意软件可以绕过安全引导等关键安全机制，即使在操作系统重新安装后仍然长期驻留。

目前，AMD虽然发布了针对部分最新处理器的更新补丁，但对于较旧的处理器，AMD决定不提供补丁，这无疑增加了仍在大量使用中的旧型号处理器的潜在威胁。

消息来源：安全内参https://www.secrss.com/articles/69080

GitHub全球宕机，微软Copilot同时瘫痪

FREEBUF 8月15日消息，全球最大的代码托管平台 GitHub 近日遭遇了全球性宕机事件，不仅影响了其网站的正常访问，还导致多项服务如pull requests、GitHub Pages和GitHub API等出现故障。

在宕机期间，前往 GitHub 主网站后页面会显示一条错误消息（错误消息中还附有一张愤怒的独角兽图片），提示“当前没有可用于响应您请求的服务器”。

此次宕机事件的影响范围相当广泛，Downdetector的数据显示，超过1万名用户受到了影响，这其中包括了众多开发者和公司。互联网监控服务BetBlocks也发布消息，确认GitHub经历了跨国服务中断。更有人在 Hacker News 上调侃称：“这下所有 AI 原生应用开发者可以正大光明摸鱼了，因为 Copilot 已经瘫痪了！”。幸运的是，系统目前已经恢复正常运行，GitHub 迅速回滚了导致此次事故的数据库基础设施变更，并宣布服务已经“全面恢复运行”。据了解，GitHub自2018年被微软以75亿美元收购后，用户数量实现了强劲增长，从当时的不到4000万用户增长到现在的7300多万开发者用户。然而，一些用户认为，尽管GitHub的知名度不断提高，但其在开发者心中的地位却逐渐下滑，平台的可靠性也成为了一些人关注的焦点。此次宕机事件不仅是一个平台的问题，更影响了整个全球开发者社区，无数项目的开发进程被迫中断，这也再次突显了对单一平台依赖的风险。

消息来源：FREEBUF  https://www.freebuf.com/news/408688.html

通用汽车因非法收集和出售驾驶者隐私数据遭起诉

日前，美国德克萨斯州检察长办公室对通用汽车提起诉讼，指控该汽车制造商非法收集并出售约150万德州客户的驾驶数据。这一行为不仅侵犯了车主隐私，还涉嫌违反德州法律。

据调查，通用汽车自2015年起利用车载技术收集、记录、分析并传输详细的驾驶数据，随后将这些信息出售给第三方公司，包括保险公司。这些数据被用于生成“驾驶评分”，而车主对此并不知情。调查还发现，通用汽车在车辆过户过程中强制客户注册OnStar等产品，否则车辆的安全功能将被停用。通过这种方式，客户在不知情的情况下同意了数据收集和出售。近年来，随着车辆互联程度的提高，汽车数据安全问题日益凸显。例如，日产北美和香港宝马经销商今年都曾发生客户信息泄露事件。特斯拉则被曝出车主摄像头拍摄的录音在内部消息系统中共享。

英国一核设施曝出严重网络安全失误，已造成国家安全威胁

安全内参8月14日消息，英国最危险的核设施——塞拉菲尔德（Sellafield）因一系列网络安全失误面临刑事指控。近日，该公司对相关指控表示认罪，并承认其失误可能对国家安全构成威胁。

法院获悉，该核废料堆场中75%的计算机服务器易受网络攻击，可能威胁国家安全。塞拉菲尔德在过去几年中发生了一系列IT失误，包括外部承包商能无监督地将U盘插入系统、服务器极度不安全等问题。今年6月，该公司承认了核监管办公室提出的指控，涉及2019年至2023年间的一系列信息技术安全违规行为。目前等待最终判决，预计将在9月进行。

此次判决是首个因IT安全被起诉的核设施案例，塞拉菲尔德已同意支付法律费用，并表示已对系统进行重大改进以确保更好的保护和更强的弹性。此次事件不仅是塞拉菲尔德的危机，也是整个核能行业的一次警钟。

消息来源：安全内参https://www.secrss.com/articles/69143

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！