点击蓝字·关注我们 / aqniu
新闻速览
•2024年第九期北京地区通信网络单元定级评审结果公示,2家企业通过,39家被否
•FIDO联盟提出全新密钥交换标准,旨在破解跨平台应用难题
•英国政府启动AI安全研究计划,强化应对深度伪造等新兴威胁能力
•FHETCH联盟成立,推动完全同态加密应用的标准化和商业化
•免费咖啡背后的陷阱:星巴克促销邮件暗藏网络钓鱼骗局
•CNNVD收录并通报Oracle多个安全漏洞
•CISA就多个新发现的关键漏洞发布紧急安全提醒
•谷歌发布Chrome 130稳定版浏览器更新,共修复17个安全漏洞
•Android 15推出多项新安全功能,全面提升敏感数据保护能力
•亚信安全与新华三将在多领域进一步深化战略合作
热点观察
2024年第九期北京地区通信网络单元定级评审结果公示,2家企业通过,39家被否
根据《中华人民共和国网络安全法》《通信网络安全防护管理办法》(工业和信息化部令第11号)等法律法规要求,北京市通信管理局持续对北京地区电信和互联网企业管理和运行的通信网络单元的定级备案情况进行审核。
2024年9月,北京市通信管理局组织对北京地区41家通信网络运行单位的41个通信网络单元进行了评审,相关评审情况日前予以公示。
原文链接:
https://mp.weixin.qq.com/s/MQgIEcarZOiMWAvk7MXv2w
FIDO联盟提出全新密钥交换标准,旨在破解跨平台应用难题
近日,线上快速身份认证联盟(FIDO)提出了一项重要提议,旨在解决密码钥匙在不同设备和平台间交换的难题。这一举措有望进一步推动密码钥匙技术的普及和应用,为用户提供更加便捷和安全的身份认证方式。
作为传统密码的替代方案,密码钥匙因其更强大的安全性和便利性,受到包括苹果、谷歌和微软在内的科技巨头以及众多安全机构的欢迎。然而,密码钥匙技术的推广仍面临一个重要障碍:缺乏在不同设备间导入导出密码钥匙的标准化方法。
为解决这一问题,FIDO联盟近日公布了一套新的安全凭证交换规范草案,包括凭证交换协议(CXP)和凭证交换格式(CXF)。这些规范定义了一种标准格式,使用户能够安全地将密码、密码钥匙等凭证从一个凭证管理器转移到另一个提供商,同时确保传输过程的安全性和隐私性。这一草案的参编单位还包括1Password、苹果、Bitwarden、Dashlane、Enpass、谷歌、微软、NordPass、Okta、三星和SK电信等知名企业代表。
原文链接:
https://www.infosecurity-magazine.com/news/fido-passkey-exchange-standard/
英国政府启动AI安全研究计划,强化应对深度伪造等新兴威胁能力
英国政府近日宣布启动一项新的人工智能安全研究计划,旨在增强对深度伪造、虚假信息、网络攻击等人工智能相关威胁的抵御能力,同时加速人工智能技术的安全采用。最近的研究显示,在过去12个月内,30%的信息安全专业人士曾经历过与深度伪造相关的事件,这已成为仅次于"恶意软件感染"的第二大安全问题。这也凸显了英国政府启动该计划的必要性和紧迫性。
英国科学创新与技术部部长Peter Kell表示,该计划的核心是人工智能安全研究所推出的系统安全补助计划。在第一阶段,研究人员可申请高达20万英镑(约26万美元)的资金支持。这项计划与工程与物理科学研究委员会(EPSRC)和创新英国(Innovate UK)合作开展,旨在支持减轻人工智能威胁和潜在重大系统性故障的研究。
Peter Kell强调,该计划的核心目标是在加速人工智能采用的同时,增强公众对这一创新技术的信任。通过汇聚行业和学术界的广泛专业知识,政府希望确保人工智能系统在推广到各个经济领域时能够安全可靠地运行。通过这项计划,英国政府希望在医疗、能源和金融服务等关键行业中识别"前沿人工智能应用"的最关键风险,同时也为英国在全球人工智能安全研究领域确立领先地位。
原文链接:
https://www.infosecurity-magazine.com/news/uk-government-launches-ai-safety/
FHETCH联盟成立,推动完全同态加密应用的标准化和商业化
近日,完全同态加密(FHE)领域迎来重大发展,FHE硬件技术联盟(FHETCH)正式宣布成立。该联盟旨在推动FHE硬件与软件之间的互操作性,为这一前沿技术的实际应用铺平道路。FHETCH汇聚了FHE开发者、硬件制造商和云服务提供商,致力于加速商业FHE解决方案的开发进程。
完全同态加密作为一种量子抗性密码学方法,其独特之处在于能够在不解密的情况下处理加密数据。这一特性使得FHE在保护数据隐私的同时,还能让组织在不受信任的环境中安全地跨行业共享数据。FHE的潜在应用范围广泛,包括医疗数据分析、金融交易、私有云计算、机器学习以及其他需要高度保密的交易或通信领域。
FHETCH创始成员企业包括Niobium、Optalysys和Chain Reaction。针对现有FHE解决方案未能满足组织实际部署需求的问题,FHETCH将重点关注以下几个方面:开发FHE硬件加速技术,制定开放的技术标准,确保产品符合全球监管框架,并与现有的数据中心格式和软件库实现无缝集成。
原文链接:
https://www.darkreading.com/data-privacy/fhe-consortium-quantum-resilient-cryptography-standards
免费咖啡背后的陷阱:星巴克促销邮件暗藏网络钓鱼骗局
近日,一波以星巴克优惠券为诱饵的网络钓鱼攻击正在全球多个国家蔓延,引发安全行业的高度关注。英国国家欺诈和网络报告中心表示,仅过去两周内就接到超过900份相关报告。
这些伪造的电子邮件声称收件人可获得免费的星巴克咖啡优惠礼包,实则包含恶意链接,意图窃取个人和财务信息或在受害者设备上植入恶意软件。Immersive Labs的技术产品管理总监David Spencer指出,网络犯罪分子实施此类网络钓鱼攻击的成本极低。攻击者只需创建一封仿真度高的星巴克邮件和虚假登录页面,就能大规模发送恶意邮件。即使只有极小比例的收件人上当,也足以使攻击者获利。
值得注意的是,今年早些时候就曾发生过一起类似的星巴克礼品优惠骗局。该骗局通过声称"朋友"订购了特别礼物来吸引受害者,实则附带了一种Zeus银行木马变种,一旦打开就会安装难以移除的rootkit。网络安全公司KnowBe4的首席安全意识倡导者Javvad Malik强调,骗子冒充知名品牌是因为熟悉感会产生信任。他提醒用户,像星巴克这样的公司极少通过电子邮件索要敏感信息,要对看似优厚的优惠信息保持警惕。
原文链接:
https://www.infosecurity-magazine.com/news/coffee-lovers-warned-of-starbucks/
安全漏洞
CNNVD收录并通报Oracle多个安全漏洞
10月15日,Oracle发布了2024年10月份安全更新,共计316个漏洞的补丁程序,国家信息安全漏洞库(CNNVD)目前已对这些漏洞进行了收录,并对相关漏洞情况进行了通报。
本次更新主要涵盖了Oracle Mysql 和 Mysql 组件、Oracle Java SE、Oracle E-Business Suite、Oracle PeopleSoft Products、Oracle PeopleSoft Enterprise HCM Global Payroll、Oracle Hyperion等。CNNVD对其危害等级进行了评价,其中超危漏洞23个,高危漏洞133个,中危漏洞131个,低危漏洞29个。
目前,Oracle官方已经发布补丁修复了上述漏洞,CNNVD建议用户及时确认漏洞影响,尽快采取修补措施。Oracle官方补丁下载地址:
https://www.oracle.com/security-alerts/cpuoct2024.html
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。
原文链接:
https://mp.weixin.qq.com/s/JGXCTR2W-NZYX9M9GuizRA
CISA就多个新发现的关键漏洞发布紧急安全提醒
美国网络安全和基础设施安全局(CISA)近日发布紧急安全提醒,要求用户和组织注意3个已被实际利用的关键漏洞。这些漏洞分别影响了微软、Mozilla和SolarWinds的主流软件产品,对组织和个人的网络安全构成重大威胁。具体包括:
漏洞CVE-2024-30088存在于微软Windows内核中,是一个检查时机与使用时机(TOCTOU)竞争条件漏洞。攻击者可能利用此漏洞在被攻陷的系统上提升权限。尽管目前尚不清楚该漏洞是否已被用于勒索软件攻击,但其被利用的风险仍然很高。CISA建议用户按照微软的指导采取缓解措施,如无可用措施则应停止使用受影响产品。
漏洞CVE-2024-9680主要影响Mozilla Firefox和Firefox ESR浏览器,涉及动画时间线中的使用后释放(Use-After-Free)问题。这可能允许攻击者在内容进程中执行任意代码。同样,该漏洞是否已被用于勒索软件攻击尚不明确。CISA建议Mozilla用户应实施供应商推荐的缓解措施,或停止使用受影响版本的Firefox。
漏洞CVE-2024-28987存在于SolarWinds Web Help Desk中,涉及硬编码凭证问题。这可能使远程未认证用户访问内部功能并修改数据。虽然目前没有证据表明该漏洞被用于勒索软件攻击,但其潜在威胁不容忽视。
由于以上漏洞危害性较大,CISA要求所有受影响组织应在11月5日之前采取相应的修复措施。如果在此日期前无法获得修复方案,建议暂时停止使用受影响的产品。
原文链接:
https://cybersecuritynews.com/cisa-warns-of-three-vulnerabilities-2/
谷歌发布Chrome 130稳定版浏览器更新,共修复17个安全漏洞
10月16日,谷歌公司宣布面向安卓、ChromeOS、Linux、macOS 和 Windows 系统,正式推出 Chrome 130 稳定版浏览器更新。此次更新的版本号为Windows和Mac平台的130.0.6723.58和130.0.6723.59,以及Linux平台的130.0.6723.58,共修复了17个安全漏洞,其中最引人注目的是一个编号为CVE-2024-9954的高危级漏洞,它是Chrome AI组件中的一个使用后释放(Use-After-Free)漏洞,由外部研究人员DarkNavy报告。为保护用户免受潜在攻击,谷歌目前限制了对详细漏洞信息的披露,直到大多数用户完成浏览器更新后。
除此之外,此次更新还修复了多个中等严重性的漏洞,涉及Web身份验证、用户界面、画中画功能、开发者工具、Dawn图形库和包裹跟踪等多个组件。这些漏洞包括使用后释放、不当实现和数据验证不足等问题。谷歌建议所有Chrome用户尽快更新浏览器以防范这些安全漏洞。用户可以通过进入浏览器设置,点击“关于Chrome”来检查并安装可用更新。
原文链接:
https://cybersecuritynews.com/chrome-130-released/
产业观察
Android 15推出多项新安全功能,全面提升敏感数据保护能力
谷歌在最新发布的Android 15操作系统中推出一系列强大的安全新功能,旨在全面保护用户的健康、财务和个人敏感信息,有效防范盗窃和欺诈风险。其中的核心亮点是新增的“Android盗窃保护”功能。这是谷歌经过严格测试开发的一整套全面解决方案,能够在设备被盗前、被盗中和被盗后的全过程中保护用户数据。而新推出的盗窃检测锁利用人工智能技术,一旦检测到手机被盗就会自动锁定设备。用户还可以通过手机号码和快速安全检查,随时远程锁定设备。
在Android 15中,谷歌还进一步强化了防盗措施。新增的身份验证要求可以有效防止盗贼猜测密码和访问敏感数据。系统还对一些常被盗贼盯上的设置,如SIM卡移除或禁用“查找我的设备”功能,增加了额外的保护。此外,设备在多次尝试失败后会自动锁定,这不仅增加了重置或出售的难度,还能在盗窃发生前起到威慑作用。
另一项重要的新功能是“私人空间”。它就像一个数字保险箱,允许用户单独组织和隐藏敏感应用。当私人空间被锁定时,这些应用会从应用列表、最近使用、通知和设置中隐藏,几乎完全不可见。访问私人空间需要额外的身份验证,进一步增强了安全性。用户甚至可以选择完全隐藏私人空间,以获得更高级别的隐私保护。
原文链接:
https://www.helpnetsecurity.com/2024/10/16/android-15-security-privacy-features/
亚信安全与新华三将在多领域进一步深化战略合作
10月16日,亚信安全与新华三集团共同宣布,双方正式签署战略合作协议,双方将基于各自在硬件及软件安全领域的能力和优势,在产品创新、解决方案、市场拓展、机制共建等多个领域进一步深入合作:
产品技术携手创新。双方将发挥各自的技术优势,积极强化技术资源引入与互补。亚信安全将以云安全、终端安全为核心技术抓手,连通起新华三的市场资源,双方通过深度的技术合作与创新,为政府、企业等行业用户提供更加丰富、多层次的数字化基础设施产品及数字化服务。
数智驱动发展新机。双方将以响应行业数字化发展趋势为导向,紧跟行业用户数字化转型的痛点需求,联合打造过硬产品、行业解决方案,共同推动数字化发展的新局面。
优势联动共赢新局。双方将明确各自的优势的市场和客户项目,进一步开放合作空间、共享市场资源,进而形成常态化合作机制。一方面积极探索多种形式的项目合作;另一方面积极打造标杆性案例,围绕云安全、智算安全等创新领域,为业界带来更多创新实践。
原文链接:
https://mp.weixin.qq.com/s/lA9FwWC9IKJ3oNJyd8u2UA