要闻速览
1、两部门印发《全国重点城市IPv6流量提升专项行动工作方案》
2、《证券期货业信息系统信创分类》出台
3、麻省理工首发AI风险管理数据库,全面覆盖777种风险
4、攻击手法罕见!ESET披露最新网络钓鱼活动
5、WPS曝出两个严重漏洞 已被武器化且在野利用
6、丰田再发数据泄露事件,涉及240GB员工和客户信息
一周政策要闻
两部门印发《全国重点城市IPv6流量提升专项行动工作方案》
贯彻落实中央网信委决策部署,按照《深入推进IPv6规模部署和应用2024年工作安排》要求,中央网信办、工业和信息化部组织开展全国重点城市IPv6流量提升专项行动,覆盖北京市、天津市、上海市、深圳市、杭州市、合肥市、无锡市、烟台市等8个重点城市。为此,近日两部门印发《全国重点城市IPv6流量提升专项行动工作方案》,旨在敦促相关单位抓好贯彻执行,加强统筹协调,压实工作责任,按期保质完成专项行动目标任务,有效发挥示范引领作用,带动全国IPv6发展水平再上新台阶。
信息来源:中央网络安全和信息化委员会办公室https://www.cac.gov.cn/2024-08/21/c_1725925496508880.htm
《证券期货业信息系统信创分类》出台
据了解,近日证监会在系统内印发了《证券期货业信息系统信创分类》,以规定证券期货业信息系统的信创分类方法。信息系统分类采用层次划分法,共分三层。层层细分,逐级细化,形成清晰的信息系统分类结构,并对每个技术功能域是否为核心功能域进行说明。
推出《证券期货业信息系统信创分类》旨在加快构建证券期货业信息技术应用创新标准体系,提升行业信创工作中信息系统分类的规范化水平。
消息来源:期货日报 http://www.qhrb.com.cn/articles/328221
业内新闻速览
麻省理工首发AI风险管理数据库,全面覆盖777种风险
日前,麻省理工学院(MIT)的研究团队发布了一个名为“人工智能风险库”的动态数据库,汇集了777个与人工智能(AI)相关的潜在风险,其目标是提供一个易于访问和定期更新的风险概览。
这个数据库从43个分类法中提取信息,将AI风险分为“因果分类”和“七个不同领域”两个维度,旨在为AI治理提供全面的知识基础。尽管该数据库存在一些局限性,如仅限于43个分类中的风险,可能缺少新兴或特定领域的风险,但它仍然是目前最全面、系统的AI风险汇编之一。研究团队在摘要中指出,这是“首次严格策划、分析和提取人工智能风险框架,形成一个公开可访问、全面、可扩展和分类的风险数据库”。
这个数据库的发布标志着AI风险管理进入了一个新阶段。它不仅为研究人员和政策制定者提供了宝贵的参考资源,也为企业和组织在开发和部署AI系统时提供了重要的风险评估工具。
消息来源:GoUpSechttps://baijiahao.baidu.com/s?id=1807966111642317189&wfr=spider&for=pc
攻击手法罕见!ESET披露最新网络钓鱼活动
最近,研究人员发现了一种新型网络钓鱼活动,可巧妙利用渐进式网络应用(PWA)技术针对安卓和iPhone用户发起攻击,使得即便被认为相对安全的iOS平台用户也难以防范。
ESET研究人员通过一个针对一家知名捷克银行客户的案例对此攻击进行分析。攻击者结合自动语音电话、短信和社交媒体恶意广告传播钓鱼链接。在安卓设备上,这种技术悄悄安装一种特殊类型的APK(称为WebAPK),看起来像是从Google Play商店安装的正常应用。对于iOS用户,钓鱼网站会诱导受害者将PWA添加到主屏幕。这一钓鱼活动之所以能够成功,正是由于PWA技术的应用。PWA是使用传统网络应用技术构建的应用,能够在多个平台和设备上运行。WebAPK是PWA的升级版,安装WebAPK 时不会出现“来自不受信任来源的安装”警告,即使用户未允许从第三方来源安装,应用仍然会被安装。无论是在安卓还是iOS上,这些钓鱼应用与真实银行应用几乎无法区分。目前,大多数已知案例发生在捷克,只有少数出现在匈牙利和格鲁吉亚。ESET已迅速将发现的敏感信息通报给受影响的银行,并协助关闭了多个钓鱼域名和C&C服务器。
消息来源:FREEBUF https://www.freebuf.com/news/409102.html
WPS曝出两个严重漏洞 已被武器化且在野利用
快科技8月20日消息,WPS Office近日被ESET披露存在两个高危安全漏洞,编号分别为CVE-2024-7262和CVE-2024-7263,CVSS评分高达9.3。
鉴于漏洞的严重性,建议所有WPS用户立即升级到最新版本(12.2.0.17153或更高版本)。安全研究人员发现CVE-2024-7262漏洞已被利用,攻击者通过分发带有恶意代码的电子表格文档来触发该漏洞,实现“单击即中”的远程代码执行攻击,可能导致数据失窃、勒索软件感染或更严重的系统破坏。漏洞位置均在WPS Office的promecefpluginhost.exe组件中,由于不恰当的路径验证,攻击者能够加载并执行任意的Windows库文件。尽管金山软件针对CVE-2024-7262发布了补丁版本12.2.0.16909,但很快被发现修复不彻底,CVE-2024-7263漏洞利用了修复过程中忽略的参数,使攻击者能够绕过安全措施。除了更新软件版本外,用户近期最好不打开来源不明的文件,尤其是可能含有恶意代码的电子表格和文档。此外还有未经证实的消息表示,可能只有WPS国际版受到影响,国内版本或不受影响,但出于安全考虑,还是建议升级到最新版本。
消息来源:快科技https://baijiahao.baidu.com/s?id=1807869653848240812&wfr=spider&for=pc
丰田再发数据泄露事件,涉及240GB员工和客户信息
据BleepingComputer消息,一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据,丰田官方随后表示这一情况属实。
根据这名黑客的描述,这些数据不仅涉及丰田员工和客户的信息,还包括合同和财务信息,并通过AD-Recon搜集了更多类型的数据。
虽然丰田没有透露这次数据泄露的日期,以及黑客是通过何种方式入侵并窃取了多少人的数据,但 BleepingComputer 发现这些文件被至少是在 2022 年 12 月 25 日创建的。这个日期可能表明,攻击者访问了存储数据的备份服务器。
丰田表示,这次事件不是系统范围的问题,影响程度有限,并正在与受影响的人员保持接触以提供必要的帮助。
消息来源:FREEBUFhttps://www.freebuf.com/news/409015.html
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!
