要闻速览

1、《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布

2、国家数据局组织开展2025年可信数据空间创新发展试点工作

3、CNVD：关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告

4、微软Exchange管理中心遭遇全球性服务中断

5、5分钟造出假护照！ChatGPT-4o暴露KYC系统致命漏洞

6、澳大利亚养老金系统遭遇凭证填充攻击，2万账户被劫持

一周政策要闻

《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布

根据2025年3月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2025年第6号），全国网络安全标准化技术委员会归口的6项国家标准正式发布。具体清单如下：

信息来源：全国网安标委 https://mp.weixin.qq.com/s/fFadqWN-sSwND8CX_5RRFA

国家数据局组织开展2025年可信数据空间创新发展试点工作

根据通知，为落实《可信数据空间发展行动计划（2024—2028年）》（国数资源〔2024〕119号）工作部署，引导和支持可信数据空间发展，促进数据要素合规高效流通，深化数据资源开发利用，国家数据局综合司现组织开展2025年可信数据空间创新发展试点工作。

试点工作重点面向应用需求旺盛、发展基础良好、经济社会价值高、示范带动力强的领域，组织开展企业、行业、城市三类可信数据空间试点工作，通过两年试点培育，形成一批资源丰富、应用创新、生态繁荣、成效显著的可信数据空间，在数据资源开发利用、数据安全可信流通、数据要素价值共创、数据制度机制创新等方面，形成可复制推广的经验模式，探索数据资源规模化流通利用新模式新路径，积累国家数据基础设施运营经验，支撑全国一体化数据市场建设。

消息来源：国家数据局 https://mp.weixin.qq.com/s/3gYu3E7PAGoLpNm8FN_Efg

业内新闻速览

CNVD：关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告

4月10日，国家信息安全漏洞共享平台（CNVD）发布《关于Foxmail邮件客户端存在跨站脚本攻击漏洞的安全公告》，指出Foxmail邮件客户端跨站脚本攻击漏洞（CNVD-2025-06036）已发现被利用进行攻击。

Foxmail是我国知名电子邮件客户端之一，目前由腾讯公司运行维护。 由于Foxmail在处理加载邮件正文时，对危险内容的过滤处理逻辑存在缺陷，攻击者构造包含恶意指令代码的电子邮件向目标用户发送，目标用户仅需使用Foxmail打开恶意邮件，无需其他点击操作，恶意指令代码即可被用户主机加载执行，具有较高的攻击隐蔽性。攻击者继而利用其他漏洞，在未授权的前提下实现对目标主机的木马文件本地写入和控制权限获取。

CNVD对该漏洞的综合评级为“中危”。漏洞影响的产品和版本：Foxmail < 7.2.25。3月28日，官方已紧急发布新版本修复该漏洞。CNVD建议受影响的单位和用户立即将Foxmail升级至最新版本：https://www.foxmail.com/，并提醒用户做好安全防范措施，不要打开来历不明的邮件。

消息来源：CNVD漏洞平台 https://mp.weixin.qq.com/s/2spz-3jU7Sk15G44EuA9qg

微软Exchange管理中心遭遇全球性服务中断

FREEBUF 4月10日消息，微软已确认Exchange管理中心（Exchange Admin Center，EAC）发生全球性服务中断，导致管理员无法访问关键管理工具。该故障被标记为关键服务事件（编号EX1051697），对依赖Exchange Online的企业造成广泛影响。

管理员尝试登录EAC时遭遇"HTTP 500错误"，表明服务器内部故障。该错误导致无法执行包括邮箱和群组管理在内的核心管理功能。微软承认该问题影响范围可能波及全球，目前正在积极调查。部分管理员报告称，通过备用URL：https://admin.cloud.microsoft/exchange#/，可成功访问EAC。微软正在验证此临时解决方案的有效性，并将很快发布确认通知，建议管理员在等待更新期间尝试此方法。微软工程师已发现错误率激增现象，正在审查近期服务变更作为潜在故障原因。

EAC是管理Exchange Online环境的重要工具，尤其对配置复杂的企业至关重要。虽然PowerShell可执行部分管理任务，但多数用户更青睐基于网页的图形界面。微软承诺将优先解决此次中断事件，建议管理员通过Microsoft 365管理中心获取实时更新。受影响的用户可尝试使用建议的备用URL或其他管理方式，直至服务恢复正常。

消息来源：FREEBUF https://mp.weixin.qq.com/s/Pk8FM4L8Ar9IKZbCSbA89g

5分钟造出假护照！ChatGPT-4o暴露KYC系统致命漏洞

近日，波兰研究员Borys Musielak展示了使用ChatGPT-4o在短短五分钟内创建假护照的惊人能力，成功绕过了Revolut和Binance等金融科技平台使用的基本KYC（了解你的客户）检查，这些平台主要依靠照片ID上传和用户自拍进行身份验证。Musielak在社交媒体X平台上强调，这意味着任何依赖图像作为"证明"的验证流程现在已经过时，包括静态或视频自拍——生成式AI都能轻松伪造。

与传统伪造不同，Musielak避开了常见的AI缺陷，证明了现在制作令人信服的假证件比使用Photoshop等工具更快捷高效。安全专家警告，这种技术进步可能导致大规模身份盗窃、欺诈信用申请和假账户创建变得更加容易实施。他们呼吁加强防御措施，包括更广泛地使用基于NFC的验证和电子身份证件(eIDs)，这些提供更强大的硬件级别认证。

值得注意的是，在Musielak演示后数小时内，ChatGPT开始拒绝类似请求，引用其安全政策禁止生成假文件。

消息来源：安全牛 https://mp.weixin.qq.com/s/vFoYXrDxtMYjUAQHlkgQEA

澳大利亚养老金系统遭遇凭证填充攻击，2万账户被劫持

安全内参4月9日消息，澳大利亚多家养老金基金提供商近日遭遇大规模网络攻击，据报道约有2万个客户账户被黑客劫持，攻击手法疑似为凭证填充攻击。

澳大利亚养老金基金协会(ASFA)于上周五发表声明，确认黑客在前一周末针对"多家基金"发起攻击。声明称："虽然大多数攻击尝试被成功阻止，但不幸的是仍有部分会员受到影响。相关基金正在联系所有受影响会员并为数据遭到泄露的用户提供帮助。"据当地新闻报道，此次事件可能导致数万个账户被入侵，损失金额高达50万美元。

其中，管理着约3650亿澳元(约2190亿美元)资产、拥有约350万会员的澳大利亚最大的养老金基金AustralianSuper确认有600名会员受到网络攻击影响。管理约930亿澳元(约560亿美元)的Rest Super表示约有8000名会员的"有限个人信息被访问"，包括名字、电子邮件地址和会员识别号码，但声称这些受害者的资金未受影响。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！