6、澳洲航空曝史詩級數(shù)據(jù)泄露，600 萬乘客信息遭黑手！

一周政策要聞

三部門聯(lián)合印發(fā)《關(guān)于進一步加強醫(yī)療機構(gòu)電子病歷信息使用管理的通知》

6月30日，國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局三部門聯(lián)合印發(fā)《關(guān)于進一步加強醫(yī)療機構(gòu)電子病歷信息使用管理的通知》（以下簡稱《通知》），明確加強醫(yī)療機構(gòu)內(nèi)部管理、規(guī)范電子病歷信息使用和強化衛(wèi)生健康行政部門監(jiān)管等要求，旨在通過壓實醫(yī)療機構(gòu)主體責(zé)任，強化監(jiān)管措施，進一步保障患者醫(yī)療信息和醫(yī)療質(zhì)量安全。

《通知》主要內(nèi)容涉及三個方面：

（一）加強醫(yī)療機構(gòu)內(nèi)部管理。明確電子病歷范圍，壓實醫(yī)療機構(gòu)主體責(zé)任，保護患者隱私，建立分級訪問權(quán)限和長效監(jiān)管機制，并納入績效評價。

（二）規(guī)范電子病歷信息使用。嚴(yán)格管控信息訪問與使用行為，確保權(quán)限匹配，簽訂保密協(xié)議，采用技術(shù)手段實現(xiàn)全流程可追溯和數(shù)據(jù)安全防護。

（三）強化衛(wèi)生健康行政部門監(jiān)管。地方衛(wèi)生健康部門加強指導(dǎo)與評估，將電子病歷規(guī)范使用納入醫(yī)院評審、巡查及智慧醫(yī)院建設(shè)等評估標(biāo)準(zhǔn)。

2025年護航新型工業(yè)化網(wǎng)絡(luò)安全專項行動啟動

為深入學(xué)習(xí)貫徹習(xí)近平總書記關(guān)于新型工業(yè)化的重要論述，全面貫徹落實中央經(jīng)濟工作會議精神和全國新型工業(yè)化推進大會部署，扎實推進2025年護航新型工業(yè)化網(wǎng)絡(luò)安全專項行動，工業(yè)和信息化部印發(fā)《2025年護航新型工業(yè)化網(wǎng)絡(luò)安全專項行動方案》。

《行動方案》聚焦突出重點管理、做優(yōu)服務(wù)模式，以推動重點企業(yè)、重要系統(tǒng)、關(guān)鍵產(chǎn)品防護能力升級為核心，提出3方面、8項重點任務(wù)，推動提高工業(yè)領(lǐng)域網(wǎng)絡(luò)安全保障水平，著力支撐制造業(yè)高質(zhì)量發(fā)展，為實現(xiàn)“十五五”良好開局奠定堅實基礎(chǔ)。

消息來源：中華人民共和國工業(yè)和信息化部

https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/zcjd/art/2025/art_daf97c6e11084a639ad6a1f1f54002fb.html

業(yè)內(nèi)新聞速覽

MCP工具鏈?zhǔn)讉€嚴(yán)重漏洞？一個釣魚網(wǎng)頁，遠(yuǎn)程劫持開發(fā)者電腦

安全內(nèi)參7月3日消息，知名AI公司Anthropic的模型上下文協(xié)議（MCP）Inspector工具被發(fā)現(xiàn)存在高危漏洞，編號為CVE-2025-49596，CVSS評分9.4，影響所有0.14.1之前版本。

該漏洞由Oligo Security發(fā)現(xiàn)，允許攻擊者通過誘導(dǎo)開發(fā)者訪問惡意網(wǎng)站，在其設(shè)備上遠(yuǎn)程執(zhí)行任意代碼。其成因是Inspector客戶端與代理服務(wù)器之間缺乏身份驗證，默認(rèn)配置無加密且開放網(wǎng)絡(luò)訪問，易受攻擊。

攻擊者可利用“0.0.0.0-day”瀏覽器漏洞，通過JavaScript向MCP Inspector的SSE端點發(fā)送請求，執(zhí)行系統(tǒng)命令，導(dǎo)致數(shù)據(jù)泄露、后門植入和橫向移動等嚴(yán)重后果。

Anthropic已于6月13日發(fā)布修復(fù)版本0.14.1，引入會話令牌驗證機制并加強來源控制，建議用戶立即升級。研究人員提醒，應(yīng)避免將開發(fā)工具暴露在公網(wǎng)，并重視默認(rèn)配置的安全性。

此次事件凸顯AI開發(fā)基礎(chǔ)設(shè)施面臨的安全挑戰(zhàn)，強調(diào)實施嚴(yán)格安全實踐的重要性。

谷歌緊急修復(fù)已被利用的Chrome高危零日漏洞

近日，谷歌在發(fā)現(xiàn)一個已被野外利用的高危零日漏洞（CVE-2025-6554）后，緊急為其Chrome瀏覽器的穩(wěn)定版通道發(fā)布了更新。該漏洞被歸類為V8 JavaScript引擎中的類型混淆漏洞，對Windows、macOS和Linux平臺的用戶構(gòu)成嚴(yán)重威脅。

漏洞詳情：

CVE-2025-6554是Chrome核心渲染引擎V8 JavaScript引擎中的類型混淆漏洞。該漏洞由谷歌威脅分析小組（TAG）的Clément Lecigne于2025年6月25日發(fā)現(xiàn)，攻擊者可通過誘使瀏覽器錯誤解析內(nèi)存類型來執(zhí)行任意代碼——這種利用方法通常用于實現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE）。

風(fēng)險等級：

零日漏洞——尤其是影響Chrome等瀏覽器的漏洞——是國家行為體、高級持續(xù)性威脅（APT）組織和以經(jīng)濟利益為目的的網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。V8引擎中的類型混淆漏洞此前曾被用于"路過式下載"攻擊、沙箱逃逸以及通過看似無害的網(wǎng)站投遞惡意負(fù)載。

更新信息：

本次發(fā)布的補丁版本號為：Windows 版138.0.7204.96/.97、Mac 版138.0.7204.92/.93、Linux 版 138.0.7204.96，將在未來數(shù)日乃至數(shù)周內(nèi)逐步推送。

谷歌在公告中警告：已確認(rèn)CVE-2025-6554漏洞的野外利用實例存在。鑒于該漏洞的敏感性及其潛在影響，在大多數(shù)用戶獲得保護前，完整技術(shù)細(xì)節(jié)仍將受限。

消息來源：FREEBUF 谷歌緊急修復(fù)已被利用的Chrome高危零日漏洞

加拿大政府以國家安全為由封殺海康威視

澳洲航空曝史詩級數(shù)據(jù)泄露，600 萬乘客信息遭黑手！

澳航在一份聲明中說，該公司6月30日發(fā)現(xiàn)其第三方客戶服務(wù)平臺出現(xiàn)“異常活動”，顯示黑客入侵了一個客戶聯(lián)絡(luò)中心系統(tǒng)，可獲取約600萬客戶的姓名、電子郵件地址、手機號碼、生日等隱私信息。“我們?nèi)栽谡{(diào)查具體有多少數(shù)據(jù)被盜，但預(yù)計泄露規(guī)模較大?！?br /> 澳航強調(diào)，被“黑”系統(tǒng)未存儲客戶的信用卡、個人財務(wù)和護照號碼等信息，因此這類數(shù)據(jù)未受影響。目前，澳航正在聯(lián)系受影響客戶，通報事件詳情，并說明公司可提供的具體支持方案。
發(fā)動此次襲擊的黑客身份尚不明確，但當(dāng)?shù)孛襟w普遍懷疑為黑客組織“分散蜘蛛”（Scattered Spider）。值得注意的是，早在6月28日，美國聯(lián)邦調(diào)查局（FBI）就針對“分散蜘蛛”發(fā)布了警報，指出該組織正在將網(wǎng)絡(luò)攻擊目標(biāo)擴大至航空領(lǐng)域。

但澳大利亞聯(lián)邦網(wǎng)絡(luò)安全部長托尼·伯克沒有就是否為“分散蜘蛛”發(fā)動攻擊置評，僅表示網(wǎng)絡(luò)安全機構(gòu)將做出最終判斷。

消息來源：界面新聞 https://baijiahao.baidu.com/s?id=1836523930390141930&wfr=spider&for=pc

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！