一、發(fā)展動向熱訊
1、我國反電信網(wǎng)絡(luò)詐騙法草案在全國人大進(jìn)行審議
10月23日,第十三屆全國人大常委會第三十一次會議對《中華人民共和國反電信網(wǎng)絡(luò)詐騙法(草案)》進(jìn)行審議,并予以公布。該草案共39條,分為7章,主要涵蓋6方面內(nèi)容:一是反電信網(wǎng)絡(luò)詐騙工作的基本原則;二是完善電話卡、物聯(lián)網(wǎng)卡、金融賬戶、互聯(lián)網(wǎng)賬號有關(guān)基礎(chǔ)管理制度;三是支持研發(fā)電信網(wǎng)絡(luò)詐騙反制技術(shù)措施,統(tǒng)籌推進(jìn)跨行業(yè)、企業(yè)統(tǒng)一監(jiān)測系統(tǒng)建設(shè),為利用大數(shù)據(jù)反詐提供制度支持;四是加強(qiáng)對涉詐相關(guān)非法服務(wù)、設(shè)備、產(chǎn)業(yè)的治理;五是其他防范措施;六是明確法律責(zé)任,加大懲處力度。(信息來源:中國人大網(wǎng))
2、國家網(wǎng)信辦擬規(guī)范互聯(lián)網(wǎng)用戶賬號名稱信息
10月26日,國家互聯(lián)網(wǎng)信息辦公室公布《互聯(lián)網(wǎng)用戶賬號名稱信息管理規(guī)定(征求意見稿)》,要求互聯(lián)網(wǎng)用戶賬號使用者在注冊、使用賬號名稱信息中應(yīng)當(dāng)遵循以下原則:互聯(lián)網(wǎng)個人用戶的賬號名稱信息應(yīng)當(dāng)充分體現(xiàn)個人特征,不得模仿類似黨政軍機(jī)關(guān)、新聞媒體、企事業(yè)單位等組織機(jī)構(gòu)的名稱、標(biāo)識,或是國家行政區(qū)域的地理名稱,避免誤導(dǎo)公眾;互聯(lián)網(wǎng)機(jī)構(gòu)用戶的賬號名稱信息應(yīng)當(dāng)與機(jī)構(gòu)自身的名稱、標(biāo)識等相符合,與機(jī)構(gòu)性質(zhì)、經(jīng)營范圍和所屬行業(yè)類型相匹配;未成年人注冊賬號時,應(yīng)當(dāng)取得其監(jiān)護(hù)人的同意并提供未成年人本人居民身份證號碼用于真實身份信息核驗。(信息來源:中國網(wǎng)信網(wǎng))
3、工信部印發(fā)《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南》
10月27日消息,工業(yè)和信息化部近日印發(fā)《物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系建設(shè)指南(2021版)》。提出到2022年,初步建立物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系,研制重點行業(yè)標(biāo)準(zhǔn)10項以上,明確物聯(lián)網(wǎng)終端、網(wǎng)關(guān)、平臺等關(guān)鍵基礎(chǔ)環(huán)節(jié)安全要求,滿足物聯(lián)網(wǎng)基礎(chǔ)安全保障需要,促進(jìn)物聯(lián)網(wǎng)基礎(chǔ)安全能力提升。到2025年,推動形成較為完善的物聯(lián)網(wǎng)基礎(chǔ)安全標(biāo)準(zhǔn)體系,研制行業(yè)標(biāo)準(zhǔn)30項以上,提升標(biāo)準(zhǔn)在細(xì)分行業(yè)及領(lǐng)域的覆蓋程度,提高跨行業(yè)物聯(lián)網(wǎng)應(yīng)用安全水平,保障消費者安全使用。(信息來源:工信部官網(wǎng))
4、信安標(biāo)委就《汽車采集數(shù)據(jù)的安全要求》征求意見
10月19日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《信息安全技術(shù) 汽車采集數(shù)據(jù)的安全要求》(征求意見稿),向社會公開征求意見。該標(biāo)準(zhǔn)擬解決汽車采集數(shù)據(jù)在傳輸、存儲和出境等環(huán)節(jié)出現(xiàn)的個人信息或重要數(shù)據(jù)泄露、濫用等安全問題。該標(biāo)準(zhǔn)共包含8章,分別為范圍、規(guī)范性引用文件、術(shù)語和定義、汽車采集數(shù)據(jù)內(nèi)容、傳輸要求、存儲要求、數(shù)據(jù)出境要求、其他要求。(信息來源:信安標(biāo)委網(wǎng)站)
5、美國國務(wù)院將設(shè)立網(wǎng)絡(luò)空間和數(shù)字政策局
10月27日消息,美國務(wù)院宣布將設(shè)立網(wǎng)絡(luò)空間和數(shù)字政策局,以應(yīng)對勒索軟件攻擊、網(wǎng)絡(luò)安全國際規(guī)范、全球數(shù)字自由等方面的挑戰(zhàn)。新機(jī)構(gòu)將設(shè)立三個部門,重點關(guān)注國際網(wǎng)絡(luò)空間安全、國際數(shù)字政策和數(shù)字自由三個關(guān)鍵領(lǐng)域。此外,美國務(wù)院還將設(shè)立新的關(guān)鍵和新興技術(shù)特使,負(fù)責(zé)協(xié)調(diào)人工智能、量子計算、生物技術(shù)等領(lǐng)域的國際政策,與盟友和合作伙伴共同領(lǐng)導(dǎo)技術(shù)外交議程。(信息來源:美國白宮網(wǎng)站)
6、美國邀請30多個國家參加勒索軟件峰會
10月16日消息,美國白宮國家安全委員會啟動了國際反勒索軟件峰會,來自英國、德國、日本、澳大利亞、印度等30多個國家的司法高級官員參會,中國和俄羅斯未被邀請。峰會旨在提高全球網(wǎng)絡(luò)彈性,解決非法使用加密貨幣問題,并提升執(zhí)法和外交合作。此次峰會包括4場專題會議:一場是關(guān)于國家復(fù)原力的會議,由印度官員領(lǐng)導(dǎo);一項關(guān)于打擊非法融資的行動,由英國牽頭;一項由澳大利亞牽頭的執(zhí)法工作;一項由德國領(lǐng)導(dǎo)的外交工作。(信息來源:美國白宮網(wǎng)站)
7、美國政府將禁止向中國和俄羅斯出口黑客工具
10月20日,美國商務(wù)部發(fā)布一項新的出口管制規(guī)定,要求各企業(yè)在未獲得獲得商務(wù)部工業(yè)與安全局許可的情況下,不得向中國、俄羅斯及其他重點針對國家出售任何黑客軟件及設(shè)備,該規(guī)定將在90天后生效。美國商務(wù)部在一份聲明中表示,禁止出售黑客工具,能在繼續(xù)保持美國研究人員及網(wǎng)絡(luò)安全公司同海外合作伙伴與客戶合作解決軟件漏洞和惡意攻擊的同時,有效遏制對手掌握相關(guān)黑客技術(shù)。(信息來源:The Record網(wǎng))
8、北約發(fā)布首個人工智能戰(zhàn)略
10月25日消息,北約組織(NATO)30個成員國國防部長在布魯塞爾總部舉行會議,正式通過北約首個人工智能戰(zhàn)略。戰(zhàn)略明確四個目標(biāo):一是為北約和盟國以身作則奠定基礎(chǔ),并鼓勵以負(fù)責(zé)任的方式開發(fā)和使用人工智能,以實現(xiàn)盟國的國防和安全目的;二是加速人工智能在能力開發(fā)和交付中的應(yīng)用,增強(qiáng)聯(lián)盟內(nèi)的互操作性,包括通過人工智能用例、新結(jié)構(gòu)和新計劃的建議;三是保護(hù)和監(jiān)控NATO的人工智能技術(shù)和創(chuàng)新能力,解決安全政策考慮因素;四是識別和防范國家和非國家行為者惡意使用人工智能帶來的威脅。(信息來源:NATO網(wǎng)站)
9、歐盟就《數(shù)據(jù)治理法》提案達(dá)成一致意見
10月14日消息,歐盟理事會就《數(shù)據(jù)治理法》提案達(dá)成一致意見。該法案規(guī)定了一系列增加數(shù)據(jù)共享信任度的措施,意圖消除因缺乏信任所產(chǎn)生的障礙。該法案將尋求建立堅實的機(jī)制,以促進(jìn)某些類別的受保護(hù)公共部門數(shù)據(jù)的再利用,增加對數(shù)據(jù)中介服務(wù)的信任,并促進(jìn)歐盟各成員國之間的數(shù)據(jù)共享。(信息來源:歐盟理事會網(wǎng)站)
10、澳大利亞政府發(fā)布反勒索軟件計劃
10月15日消息,澳大利亞政府發(fā)布反勒索軟件計劃,這是該國為應(yīng)對日益嚴(yán)重的網(wǎng)絡(luò)威脅而采取的新措施。該計劃包括準(zhǔn)備和預(yù)防、應(yīng)對和恢復(fù)、破壞和威懾3部分核心內(nèi)容。具體舉措為成立一個名為“奧庫斯行動”的多機(jī)構(gòu)工作組,由澳大利亞聯(lián)邦警察領(lǐng)導(dǎo);為所有受害實體引入強(qiáng)制性勒索軟件事件報告條款;為各種規(guī)模的企業(yè)制定提高認(rèn)識的計劃;對該國的網(wǎng)絡(luò)勒索者和勒索軟件實施者實施更嚴(yán)厲的懲罰;更積極地呼吁制裁促進(jìn)勒索軟件攻擊或為網(wǎng)絡(luò)犯罪分子提供避風(fēng)港的國家;積極跟蹤和攔截已確認(rèn)鏈接到勒索軟件操作或其他網(wǎng)絡(luò)犯罪的加密貨幣交易等。澳大利亞政府對勒索軟件攻擊采取零容忍的態(tài)度。(信息來源:BleepingComputer網(wǎng))
11、印度政府發(fā)布電力行業(yè)網(wǎng)絡(luò)安全指南
10日25日消息,印度電力部和中央電力管理局發(fā)布電力行業(yè)網(wǎng)絡(luò)安全指南,旨在創(chuàng)建一個安全的網(wǎng)絡(luò)生態(tài)系統(tǒng)。該指南制定了網(wǎng)絡(luò)安全保障框架,加強(qiáng)了監(jiān)管框架,并建立了安全威脅預(yù)警、漏洞管理和應(yīng)對安全威脅的機(jī)制。該指南針對的系統(tǒng)范圍包括3部分,即系統(tǒng)運行和運行管理控制系統(tǒng);通信系統(tǒng);輔助的、自動化和遠(yuǎn)程控制技術(shù)。該指南適用于印度電力供應(yīng)系統(tǒng)中的所有責(zé)任實體和系統(tǒng)集成商、設(shè)備制造商、供應(yīng)商和生產(chǎn)商、服務(wù)提供商及IT硬件和軟件原始設(shè)備制造商。(信息來源:互聯(lián)網(wǎng)安全內(nèi)參)
二、安全事件聚焦
12、APT組織針對南亞政府及電信部門發(fā)起攻擊
10月21日消息,賽門鐵克研究人員發(fā)現(xiàn)APT組織Harvester使用新工具集,對南亞政府、IT及電信部門進(jìn)行信息竊取活動,其主要攻擊目標(biāo)是阿富汗。攻擊者通過在受害者設(shè)備上部署一個名為Backdoor.Graphon的自定義后門、下載器和屏幕截圖工具,對受害者進(jìn)行遠(yuǎn)程訪問,監(jiān)視用戶活動并竊取信息。該組織在今年6月開始活躍,研究人員建議相關(guān)地區(qū)和組織應(yīng)提高警惕。(信息來源:ThreatPost網(wǎng))
13、伊朗多地加油站因遭網(wǎng)絡(luò)攻擊而關(guān)閉
10月26日,伊朗國有天然氣分銷企業(yè)NIOPDC疑似遭網(wǎng)絡(luò)攻擊,全國多地加油站出現(xiàn)故障,無法正確計費收款,加油泵屏幕與油價廣告牌顯示異常內(nèi)容。伊朗石油部將該事件歸咎于軟件故障。NIOPDC在全國范圍內(nèi)管理著3500多家加油站,目前受影響的加油站均已恢復(fù)運營。(信息來源:互聯(lián)網(wǎng)安全內(nèi)參)
14、韓國電信巨頭遭DDoS攻擊致全國網(wǎng)絡(luò)關(guān)閉
10月25日,韓國電信巨頭KT公司遭大規(guī)模DDoS攻擊,其有線和無線網(wǎng)絡(luò)服務(wù)突然中斷,韓國全國范圍內(nèi)出現(xiàn)大面積網(wǎng)絡(luò)服務(wù)中斷,持續(xù)約1小時左右。斷網(wǎng)期間,包括證券交易系統(tǒng)在內(nèi)的大型商業(yè)網(wǎng)站被迫關(guān)閉,飯店結(jié)算系統(tǒng)以及居民家中的網(wǎng)絡(luò)、手機(jī)信號等服務(wù)均受影響,用戶無法使用信用卡、交易股票或訪問在線應(yīng)用程序。目前大部分網(wǎng)絡(luò)服務(wù)已恢復(fù),相關(guān)部門已展開調(diào)查。(信息來源:E安全網(wǎng))
15、德國汽車零配件龍頭遭勒索攻擊致生產(chǎn)系統(tǒng)癱瘓
10月28日消息,德國跨國企業(yè)Ebersp?cher Group遭勒索軟件攻擊,其官網(wǎng)、郵件、辦公網(wǎng)絡(luò)、生產(chǎn)系統(tǒng)等紛紛癱瘓。由于無法正常協(xié)調(diào)生產(chǎn)并管理客戶訂單,該公司只能通知部分工廠員工在宕機(jī)處理期間留在家中帶薪休假。Ebersp?cher Group目前擁有超過1萬名員工,有28個國家/地區(qū)運營擁有80處生產(chǎn)工廠(包括中國)。他們的主要業(yè)務(wù)是為全球幾乎所有頂級汽車品牌供應(yīng)空調(diào)、供暖及排氣系統(tǒng)。受影響系統(tǒng)目前仍未恢復(fù)。(信息來源:The Record網(wǎng))
16、中國臺灣電腦制造商宏基遭黑客組織攻擊
10月20日消息,中國臺灣電腦制造商宏基位于印度和臺灣的服務(wù)器系統(tǒng)遭黑客組織Desorden攻擊,并竊取了超60GB的文件和數(shù)據(jù)庫,包括1萬名客戶記錄,3000家宏基印度分銷商和零售商的財務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、登錄憑證等商業(yè)機(jī)密信息,以及員工個人信息和產(chǎn)品信息。攻擊者還通過視頻展示了被盜信息的真實性,并威脅稱其他地區(qū)的網(wǎng)絡(luò)也易受攻擊。宏基表示此次攻擊僅影響其在印度的售后服務(wù)系統(tǒng),目前已啟動安全協(xié)議,并對系統(tǒng)進(jìn)行全面掃描。(信息來源:BleepingComputer網(wǎng))
17、以色列Hillel Yaffe醫(yī)院遭勒索軟件攻擊
10月19日消息,以色列Hillel Yaffe醫(yī)院遭勒索軟件攻擊,其計算機(jī)系統(tǒng)癱瘓。由于該醫(yī)院一直在使用替代系統(tǒng)為患者提供治療,并一直在手寫患者信息,包括CT和MRI掃描儀等關(guān)鍵設(shè)備都在正常工作。該醫(yī)院已要求以色列紅十字會和以色列衛(wèi)生部將不需要緊急護(hù)理的患者轉(zhuǎn)移至其他醫(yī)院。以色列將此次攻擊歸類為重大事件,已組織該領(lǐng)域最優(yōu)秀的專家展開調(diào)查。(信息來源:SecurityAffairs網(wǎng))
18、美國媒體巨頭遭勒索軟件攻擊致多個電視節(jié)目停播
10月17日消息,在全美89個地區(qū)擁有294家電視臺的美國媒體巨頭辛克萊廣播集團(tuán)遭勒索軟件攻擊,其內(nèi)部網(wǎng)絡(luò)、電子郵件服務(wù)器、電話服務(wù)及地方電視臺廣播系統(tǒng)中斷,旗下多個電視臺節(jié)目停播,涉及華盛頓、馬里蘭、伊利諾伊和得克薩斯等州。由于辛克萊集團(tuán)IT網(wǎng)絡(luò)的大部分用戶都借助同一個活動目錄互聯(lián)互通,攻擊者以此入侵地方電視臺播送系統(tǒng)。該集團(tuán)目前已通過調(diào)用其他影像資源替換被攻擊頻道中的預(yù)定節(jié)目,確保電視頻道處于工作狀態(tài)。(信息來源:互聯(lián)網(wǎng)安全內(nèi)參)
19、阿根廷4500萬居民身份信息遭泄露
10月21日消息,黑客入侵了阿根廷國家人事登記處(ReNaPer)的IT網(wǎng)絡(luò),竊取了該國4500萬居民的身份證詳細(xì)信息并出售。黑客發(fā)布了44名阿根廷名人的身份證照片和個人詳情,包括阿根廷總統(tǒng)、多名記者、政治人物以及足球巨星梅西和阿圭羅的個人數(shù)據(jù)。泄露信息包括姓名、性別、出生日期、身份證簽發(fā)和到期日期、公民號碼和家庭住址等。ReNaPer是阿根廷內(nèi)政部的一個重要組成部分,其任務(wù)是向所有公民發(fā)放國民身份證,并將信息以數(shù)字格式存儲,作為其他政府機(jī)構(gòu)可訪問的數(shù)據(jù)庫,是大多數(shù)政府查詢公民個人信息的支柱。阿根廷政府隨后證實了該事件,稱這是該國歷史上第二起重大安全事件。(信息來源:The Record網(wǎng))
20、超260萬Instagram和TikTok用戶數(shù)據(jù)遭泄露
10月22日消息,安全公司Infosecurity研究人員發(fā)現(xiàn),IGBlade公司將超過260萬份TikTok和Instagram社交媒體用戶的數(shù)據(jù),暴露在配置錯誤的Elasticsearch服務(wù)器上,沒有任何密碼保護(hù),且數(shù)據(jù)已在互聯(lián)網(wǎng)上公開一個多月。攻擊者可通過收集大量用戶數(shù)據(jù)來加速大規(guī)模社會工程和欺詐活動。IGBlade是一家為客戶提供社交媒體用戶營銷見解的公司,此次數(shù)據(jù)泄露違反了TikTok和Instagram的服務(wù)條款。(信息來源:互聯(lián)網(wǎng)安全內(nèi)參)
21、3D模型網(wǎng)站Thingiverse泄露22.8萬名用戶信息
10月16日消息,知名3D模型網(wǎng)站Thingiverse泄露超22.8萬名用戶詳細(xì)信息,包括用戶名、出生日期、電子郵件地址、IP地址以及OAuth令牌。擁有OAuth令牌的攻擊者可遠(yuǎn)程訪問并完全控制3D打印機(jī),調(diào)用打印機(jī)攝像頭對用戶實行監(jiān)視,同時還可向3D打印機(jī)發(fā)送錯誤示意圖,損壞其電機(jī)。Thingiverse公司負(fù)責(zé)人稱該事件為內(nèi)部人員操作失誤導(dǎo)致,并已通知受影響用戶。(信息來源:FreeBuf網(wǎng))
三、安全風(fēng)險警示
22、江森自控旗下視頻監(jiān)控系統(tǒng)被曝高危漏洞
10月13日消息,研究人員在美國建筑科技巨頭江森自控旗下Exacq Technologies公司生產(chǎn)的視頻監(jiān)控系統(tǒng)中發(fā)現(xiàn)兩個嚴(yán)重高危漏洞。第一個漏洞被描述為直通賬戶安全問題,CVSS評分為9.8分,允許攻擊者使用網(wǎng)絡(luò)瀏覽器從ExacqVision服務(wù)器獲取視頻和其他數(shù)據(jù);第二個漏洞被描述為DoS問題,CVSS評分為8.8分,可被未經(jīng)身份驗證的遠(yuǎn)程攻擊者利用,通過發(fā)送特制的消息使服務(wù)器崩潰。上述漏洞影響32位版本的exacqVision Server 210.06.11.0和更老版本。研究人員建議用戶盡快升級版本。(信息來源:US-Cert網(wǎng)站)
23、全球最大NFC交易平臺OpenSea存在嚴(yán)重漏洞
10月14日消息,網(wǎng)絡(luò)安全公司Check Point稱全球最大NFC交易平臺OpenSea存在一個嚴(yán)重漏洞。攻擊者可利用該漏洞構(gòu)造惡意NFTs,并誘使用戶點擊,從而劫持用戶賬戶,竊取整個密幣錢包。OpenSea是全球最大的綜合NFT交易平臺,用戶可以在平臺上鑄造、展示、交易、拍賣NFT和其他數(shù)字資產(chǎn),交易量達(dá)到34億。OpenSea稱尚未發(fā)現(xiàn)該漏洞遭在野利用的實例,漏洞目前已被修復(fù)。(信息來源:TheHackerNews網(wǎng))
24、開源網(wǎng)頁服務(wù)器Apache被曝遠(yuǎn)程代碼執(zhí)行漏洞
10月17日消息,研究人員發(fā)現(xiàn)Apache HTTP Server中存在一個路徑遍歷和文件泄露漏洞CVE-2021-41773,該漏洞可能泄漏CGI腳本等解釋文件的來源,目前已遭利用。Apache HTTP Server 是一個開源、跨平臺的Web服務(wù)器,在全球范圍內(nèi)被廣泛使用。Apache已發(fā)布安全更新,建議用戶盡快修復(fù)。(信息來源:啟明星辰網(wǎng)站)
25、應(yīng)用軟件Cachet被曝存在三個安全漏洞
10月18日消息,研究人員發(fā)現(xiàn)應(yīng)用軟件Cachet中存在三個安全漏洞。(1)換行注入漏洞CVE-2021-39172,允許攻擊者注入新指令并修改代碼特性,當(dāng)用戶更新實例配置時就會被觸發(fā),最終導(dǎo)致任意代碼執(zhí)行;(2)漏洞CVE-2021-39174,允許攻擊者提取存儲在配置文件中的機(jī)密信息,如數(shù)據(jù)庫密碼和框架密鑰;(3)漏洞CVE-2021-39173,允許攻擊者在目標(biāo)實例已被完全配置的情況下仍然更改設(shè)置進(jìn)程。上述漏洞已被修復(fù)。(信息來源:代碼衛(wèi)士)
26、壓縮軟件WinRAR試用版存在遠(yuǎn)程代碼執(zhí)行漏洞
10月20日,研究人員發(fā)現(xiàn)Windows壓縮軟件WinRAR中存在一個遠(yuǎn)程代碼執(zhí)行漏洞CVE-2021-35052,影響該程序的試用版5.70。該漏洞允許攻擊者攔截和修改發(fā)送給應(yīng)用程序用戶的請求,遠(yuǎn)程攻擊計算機(jī)系統(tǒng),并訪問系統(tǒng)內(nèi)的所有資源。此外,訪問同一網(wǎng)域的攻擊者還可通過ARP欺騙攻擊,遠(yuǎn)程啟動應(yīng)用程序、檢索本地主機(jī)信息、運行任意代碼。目前漏洞已經(jīng)公開披露,建議受影響用戶使用官方版本。(信息來源:SecurityAffairs網(wǎng))
27、思科發(fā)布安全更新修復(fù)多個嚴(yán)重漏洞
10月27日,思科發(fā)布安全公告,修復(fù)了思科 Firepower威脅防御(FTD)、自適應(yīng)安全設(shè)備和Firepower管理中心中的多個安全漏洞。CVE-2021-34755、CVE-2021-34756和CVE-2021-34752都是思科 FTD中的命令注入漏洞,由于對用戶提供的命令參數(shù)驗證不足導(dǎo)致,攻擊者可以提交惡意輸入來利用這些漏洞。其中,CVE-2021-34755和CVE-2021-34756可導(dǎo)致經(jīng)過身份驗證的本地攻擊者以root權(quán)限在受影響設(shè)備的系統(tǒng)上執(zhí)行任意命令;CVE-2021-34752可導(dǎo)致經(jīng)過身份驗證且具有管理權(quán)限的本地攻擊者以root權(quán)限在受影響設(shè)備的系統(tǒng)上執(zhí)行任意命令;CVE-2021-34762是由于思科Firepower管理中心基于Web的管理界面對HTTPS URL 的輸入驗證不足導(dǎo)致,經(jīng)過身份驗證的遠(yuǎn)程攻擊者,可通過向受影響的設(shè)備發(fā)送包含目錄遍歷字符序列的惡意HTTPS請求來利用該漏洞,最終在受害者設(shè)備上讀取或?qū)懭肴我馕募D壳埃伎埔呀?jīng)發(fā)布相關(guān)補(bǔ)丁,建議受影響用戶及時更新。(信息來源:Cisco官網(wǎng))
28、微軟修復(fù)包含4個零日漏洞在內(nèi)的74個安全漏洞
10月15日,微軟修復(fù)包含Microsoft Windows和其他軟件中的74個安全漏洞,其中3個被評為嚴(yán)重,70個被評為高危,1個被評為中危。四個零日漏洞分別為Win32k提權(quán)漏洞CVE-2021-40449,CVSS評分7.8,正被攻擊者用于針對IT公司、軍事/國防承包商和外交實體的間諜活動;Windows內(nèi)核特權(quán)提升漏洞CVE-2021-41335,CVSS評分7.8,該漏洞無需用戶交互即可遠(yuǎn)程利用,攻擊復(fù)雜度低,但所需權(quán)限高,并且僅在服務(wù)器配置為DNS服務(wù)器時才可被利用;Windows DNS服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞CVE-2021-40469,CVSS評分7.2;Windows AppContainer防火墻規(guī)則安全功能繞過漏洞CVE-2021-41338,CVSS評分5.5。微軟已發(fā)布相關(guān)安全更新,建議受影響用戶盡快修復(fù)。(信息來源:啟明星辰網(wǎng)站)
四、前沿技術(shù)瞭望
29、我國量子計算優(yōu)越性研究取得重要進(jìn)展
10月26日消息,中科院量子信息與量子科技創(chuàng)新研究院科研團(tuán)隊在超導(dǎo)量子和光量子兩種系統(tǒng)的量子計算方面取得重要進(jìn)展。研究團(tuán)隊構(gòu)建了66比特可編程超導(dǎo)量子計算原型機(jī)“祖沖之二號”,實現(xiàn)了對“量子隨機(jī)線路取樣”任務(wù)的快速求解,比目前最快的超級計算機(jī)快一千萬倍,計算復(fù)雜度比谷歌的超導(dǎo)量子計算原型機(jī)“懸鈴木”高一百萬倍。同時,光量子計算研究團(tuán)隊構(gòu)建了113個光子144模式的量子計算原型機(jī)“九章二號”,處理特定問題的速度比超級計算機(jī)快億億億倍,并增強(qiáng)了光量子計算原型機(jī)的編程計算能力。使我國成為目前世界上唯一在兩種物理體系達(dá)到“量子計算優(yōu)越性”里程碑的國家。(信息來源:環(huán)球網(wǎng))
來源:國信中心