要聞速覽

1、關(guān)于下達(dá)9項(xiàng)網(wǎng)絡(luò)安全推薦性國(guó)家標(biāo)準(zhǔn)計(jì)劃的通知

2、中央網(wǎng)信辦就《數(shù)據(jù)安全技術(shù) 電子產(chǎn)品信息清除技術(shù)要求》強(qiáng)制性國(guó)家標(biāo)準(zhǔn)（征求意見(jiàn)稿）公開(kāi)征求意見(jiàn)

3、關(guān)于Google Chrome V8存在類型混淆漏洞的安全公告

4、CISA發(fā)布13種工業(yè)控制系統(tǒng)新安全警報(bào)，重點(diǎn)提升關(guān)鍵基礎(chǔ)設(shè)施防護(hù)能力

5、DShield蜜罐掃描量創(chuàng)歷史新高——單日日志突破百萬(wàn)條

6、熱門健身應(yīng)用Fitify云存儲(chǔ)桶數(shù)據(jù)泄露，37.3 萬(wàn)份私密文件可隨意訪問(wèn)

一周政策要聞

關(guān)于下達(dá)9項(xiàng)網(wǎng)絡(luò)安全推薦性國(guó)家標(biāo)準(zhǔn)計(jì)劃的通知

近日，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的推薦性國(guó)家標(biāo)準(zhǔn)計(jì)劃，其中《網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通 第4部分：威脅信息格式》等9項(xiàng)國(guó)家標(biāo)準(zhǔn)由全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理，清單見(jiàn)附件。

請(qǐng)項(xiàng)目所屬工作組制定項(xiàng)目推進(jìn)計(jì)劃，并督促項(xiàng)目牽頭承擔(dān)單位按計(jì)劃抓緊落實(shí)，在計(jì)劃執(zhí)行中要加強(qiáng)協(xié)調(diào)，廣泛征求意見(jiàn)，確保標(biāo)準(zhǔn)質(zhì)量和水平，按要求完成國(guó)家標(biāo)準(zhǔn)制修訂任務(wù)。

信息來(lái)源：全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) https://www.tc260.org.cn/front/postDetail.html?id=20250715152423&sessionid=283582499

中央網(wǎng)信辦就《數(shù)據(jù)安全技術(shù) 電子產(chǎn)品信息清除技術(shù)要求》強(qiáng)制性國(guó)家標(biāo)準(zhǔn)（征求意見(jiàn)稿）公開(kāi)征求意見(jiàn)

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)標(biāo)準(zhǔn)制修訂計(jì)劃，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室已組織完成了《數(shù)據(jù)安全技術(shù) 電子產(chǎn)品信息清除技術(shù)要求》強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的征求意見(jiàn)稿，現(xiàn)公開(kāi)征求意見(jiàn)。請(qǐng)于2025年9月13日前將意見(jiàn)反饋給組織起草部門。

聯(lián)系人：王秉政

聯(lián)系電話：010-64102746

聯(lián)系郵箱：lingjingbin@cac.gov.cn

消息來(lái)源：網(wǎng)信中國(guó) https://mp.weixin.qq.com/s/LbnH4UDcfKuHDGzy8alnqA

業(yè)內(nèi)新聞速覽

關(guān)于Google Chrome V8存在類型混淆漏洞的安全公告

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Google Chrome中的一個(gè)V8類型混淆漏洞（CNVD-2025-14800，對(duì)應(yīng)CVE-2025-6554）。此漏洞允許攻擊者通過(guò)精心構(gòu)造的惡意HTML頁(yè)面，誘騙用戶訪問(wèn)并觸發(fā)漏洞，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。谷歌公司確認(rèn)該漏洞已經(jīng)被在野利用，并緊急發(fā)布了修復(fù)版本。

一、漏洞情況分析

該漏洞源于Chrome瀏覽器的V8 JavaScript引擎處理某些JS表達(dá)式時(shí)存在的類型混淆問(wèn)題，導(dǎo)致瀏覽器無(wú)法正確區(qū)分內(nèi)存中的不同類型數(shù)據(jù)。未經(jīng)授權(quán)的攻擊者可以利用這一弱點(diǎn)，對(duì)目標(biāo)主機(jī)執(zhí)行任意讀寫(xiě)操作，進(jìn)一步實(shí)施遠(yuǎn)程代碼執(zhí)行攻擊。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

二、漏洞影響范圍

漏洞影響的產(chǎn)品和版本包括：

Google Chrome < 138.0.7204.96

基于Chromium內(nèi)核開(kāi)發(fā)的瀏覽器

三、漏洞處置建議

為了防止?jié)撛诘陌踩{，CNVD強(qiáng)烈建議所有受影響的單位和個(gè)人立即升級(jí)其Google Chrome至最新版本。具體來(lái)說(shuō)，Windows版應(yīng)升級(jí)至v138.0.7204.96或.v97，Linux版至v138.0.7204.96，Mac版則需升級(jí)至v138.0.7204.92或.v93。此外，用戶在瀏覽網(wǎng)頁(yè)時(shí)應(yīng)保持警惕，避免點(diǎn)擊不明來(lái)源的鏈接或下載可疑文件，以減少安全風(fēng)險(xiǎn)。

CISA發(fā)布13種工業(yè)控制系統(tǒng)新安全警報(bào)，重點(diǎn)提升關(guān)鍵基礎(chǔ)設(shè)施防護(hù)能力

近日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了針對(duì)13種工業(yè)控制系統(tǒng)（ICS）的新安全警報(bào)，旨在提升關(guān)鍵基礎(chǔ)設(shè)施的安全性。這些警報(bào)涵蓋了多種設(shè)備和軟件，涉及多個(gè)行業(yè)，包括能源、制造和交通等領(lǐng)域。CISA的這一舉措是響應(yīng)日益增長(zhǎng)的網(wǎng)絡(luò)攻擊威脅，特別是針對(duì)工業(yè)控制系統(tǒng)的攻擊。

在這次發(fā)布中，CISA詳細(xì)列出了每種ICS的潛在漏洞及其可能導(dǎo)致的后果。警報(bào)中提到的漏洞可能被攻擊者利用，導(dǎo)致系統(tǒng)失效、數(shù)據(jù)泄露或甚至物理?yè)p害。CISA建議相關(guān)企業(yè)和組織立即采取措施，更新和修補(bǔ)受影響的系統(tǒng)，以降低風(fēng)險(xiǎn)。

此外，CISA還強(qiáng)調(diào)了對(duì)網(wǎng)絡(luò)安全最佳實(shí)踐的遵循，包括定期進(jìn)行安全評(píng)估、實(shí)施多層防御策略以及加強(qiáng)員工的安全意識(shí)培訓(xùn)。這些措施不僅能幫助企業(yè)抵御當(dāng)前的威脅，還能為未來(lái)的安全挑戰(zhàn)做好準(zhǔn)備。

消息來(lái)源：安全牛

涉嫌欺詐性數(shù)據(jù)提取，法國(guó)警方將對(duì)馬斯克和X平臺(tái)展開(kāi)調(diào)查；谷歌用戶追蹤技術(shù)可突破隱私保護(hù)工具，用戶數(shù)據(jù)安全性引擔(dān)憂 | 牛覽

DShield蜜罐掃描量創(chuàng)歷史新高——單日日志突破百萬(wàn)條

FREEBUF7月16日消息，DShield蜜罐系統(tǒng)首次記錄到單日超過(guò)100萬(wàn)條日志條目，這一現(xiàn)象標(biāo)志著網(wǎng)絡(luò)攻擊模式的重大轉(zhuǎn)變，過(guò)去被視為異常的高頻率事件現(xiàn)在逐漸成為常態(tài)。這種創(chuàng)紀(jì)錄的活動(dòng)已經(jīng)持續(xù)數(shù)月，多個(gè)蜜罐系統(tǒng)每日生成超過(guò)20GB的日志數(shù)據(jù)，個(gè)別系統(tǒng)在24小時(shí)內(nèi)甚至達(dá)到了近58GB，顯著高于之前的約35GB紀(jì)錄。
互聯(lián)網(wǎng)風(fēng)暴中心分析師指出，此次日志量激增主要源于網(wǎng)絡(luò)蜜罐日志而非傳統(tǒng)網(wǎng)絡(luò)掃描活動(dòng)，表明威脅態(tài)勢(shì)正在發(fā)生協(xié)同演變。攻擊者展示了精密的定向模式，重點(diǎn)關(guān)注特定API端點(diǎn)和配置接口，特別是存在漏洞的Web應(yīng)用路徑如/api/v1/config/domains和/api/v1/logon，這些路徑通常關(guān)聯(lián)企業(yè)網(wǎng)絡(luò)管理系統(tǒng)和認(rèn)證機(jī)制。
技術(shù)分析顯示，掃描活動(dòng)源自分布式子網(wǎng)范圍，例如45.146.130.0/24、179.60.146.0/24和185.93.89.0/24等網(wǎng)絡(luò)表現(xiàn)出活躍態(tài)勢(shì)，每個(gè)子網(wǎng)產(chǎn)生數(shù)十萬(wàn)至數(shù)百萬(wàn)次獨(dú)立請(qǐng)求。攻擊者通過(guò)使用多個(gè)IP地址進(jìn)行重復(fù)嘗試來(lái)維持持久性，可能利用僵尸網(wǎng)絡(luò)或被入侵的基礎(chǔ)設(shè)施實(shí)施持續(xù)偵察。

面對(duì)這一威脅，安全團(tuán)隊(duì)面臨巨大運(yùn)營(yíng)壓力，包括存儲(chǔ)需求急劇增加，部分機(jī)構(gòu)每周需額外140GB存儲(chǔ)空間用于備份網(wǎng)絡(luò)蜜罐日志。這不僅突顯了當(dāng)前網(wǎng)絡(luò)安全環(huán)境的嚴(yán)峻性，也強(qiáng)調(diào)了及時(shí)更新防護(hù)措施的重要性。

消息來(lái)源：FREEBUF https://www.freebuf.com/articles/439618.html

熱門健身應(yīng)用Fitify云存儲(chǔ)桶數(shù)據(jù)泄露，37.3 萬(wàn)份私密文件可隨意訪問(wèn)

安全內(nèi)參7月17日消息，健身應(yīng)用Fitify因谷歌云存儲(chǔ)桶配置錯(cuò)誤，導(dǎo)致總計(jì)37.3萬(wàn)個(gè)用戶文件被公開(kāi)暴露。其中包括13.8萬(wàn)張用戶上傳的健身進(jìn)度照片（部分涉及穿著較少內(nèi)容）及6000份身體掃描數(shù)據(jù)，暴露原因?yàn)榇鎯?chǔ)桶未設(shè)置訪問(wèn)權(quán)限控制，導(dǎo)致任何人無(wú)需密碼或密鑰即可訪問(wèn)。
Cybernews研究團(tuán)隊(duì)于5月初發(fā)現(xiàn)該問(wèn)題，指出暴露的數(shù)據(jù)不僅包含鍛煉計(jì)劃和視頻，還包括用戶與AI教練互動(dòng)過(guò)程中上傳的隱私圖像和掃描信息。
盡管應(yīng)用在描述中聲稱“數(shù)據(jù)傳輸中加密”，但研究人員指出，數(shù)據(jù)在靜態(tài)存儲(chǔ)時(shí)并未加密。此外，團(tuán)隊(duì)還在暴露的存儲(chǔ)桶中發(fā)現(xiàn)硬編碼于應(yīng)用前端的API密鑰和敏感端點(diǎn)信息，表明開(kāi)發(fā)過(guò)程中存在多重安全疏漏。
Fitify 接到通知后已關(guān)閉涉事公開(kāi)存儲(chǔ)桶。專家建議，企業(yè)應(yīng)限制云存儲(chǔ)訪問(wèn)權(quán)限，僅授權(quán)必要人員訪問(wèn)，撤銷泄露憑證并重新生成密鑰，同時(shí)審查接口訪問(wèn)控制，并進(jìn)行全面安全審計(jì)。

消息來(lái)源：安全內(nèi)參 https://www.secrss.com/articles/81008

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！