网络安全国内安全动态

DYNAMIC SECURITY

01

国务院总理李强日前签署国务院令，公布《网络数据安全管理条例》（以下简称《条例》），自2025年1月1日起施行。

《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用，保护个人、组织的合法权益，维护国家安全和公共利益。《条例》共9章64条，主要规定了以下内容。　

一是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用，对网络数据实行分类分级保护，积极参与网络数据安全相关国际规则和标准的制定，加强行业自律，禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。

二是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务，细化个人信息转移请求实现途径等。

三是完善重要数据安全制度。明确制定重要数据目录职责要求，规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。

四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件，规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的，不需要将其作为重要数据申报数据出境安全评估。

五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。明确通过自动化决策方式向个人进行信息推送的规则，规定大型网络平台服务提供者发布个人信息保护社会责任年度报告、防范网络数据跨境安全风险等要求。

为进一步规范互联网新闻信息服务活动，提升主流新闻舆论影响力，营造清朗网络空间，近日，中央网信办印发通知，部署开展为期3个月的“清朗·整治违规开展互联网新闻信息服务”专项行动。

中央网信办有关负责人表示，本次专项行动针对违法违规开展互联网新闻信息服务行为，集中整治五类突出问题：

一是编发虚假不实新闻信息，使用与新闻信息内容严重不符的夸张标题，或者恶意篡改、断章取义、拼凑剪辑、合成伪造新闻信息，误导社会公众；

二是借舆论监督名义，通过采编、发布、转载、删除新闻信息，干预新闻信息呈现或搜索结果等手段，威胁、要挟他人提供财物、开展商业合作，谋取不正当利益；

三是仿冒、假冒新闻网站、报刊社、广播电视机构、通讯社等新闻单位，或者擅自使用“新闻”“报道”等具有新闻属性的名称、标识开设网站平台、注册账号、发布信息；

四是未经许可或超越许可范围开展互联网新闻信息采编发布服务、转载服务、传播平台服务。未取得互联网新闻信息采编发布服务资质，违规开展新闻采访、发布新闻信息；

五是伪造、倒卖、出租、出借、转让互联网新闻信息服务许可资质。出售、出租或以其他形式委托第三方主体运营互联网新闻信息服务频道等。通过不正当手段、虚假材料等取得互联网新闻信息服务许可。

参考网信中国

南昌市网信办依法对属地某企业作出行政处罚

经过立案调查、现场勘验、远程勘验（采样技术分析）、笔录问询等工作，查明：1.该企业未履行网络安全保护义务，未对运营的网络及信息系统开展网络安全等级保护测评等相关工作，并采取防范计算机病毒和网络攻击等危害网络安全行为的技术措施；2.该企业未及时处置计算机病毒、网络攻击等安全风险，所属终端感染木马病毒，持续对外发起网络攻击，导致产生危害网络安全的后果。相关行为违反了《中华人民共和国网络安全法》第二十一条、第二十五条的规定。

9月29日，南昌市网信办依据《中华人民共和国网络安全法》第五十九条的规定，对该企业作出罚款5万元、对直接负责的主管人员作出罚款1万元的行政处罚。

企业负责人表示，已充分认识到问题的严重性及造成的不良影响，诚恳接受处罚，将严格落实《中华人民共和国网络安全法》等法律要求，全面深入自查，积极配合监管，认真完成整改，切实履行好网络安全保护义务。

参考安全内参

9项网络安全国家标准获批发布

 参考全国网安标委

谷歌将卡巴斯基杀毒软件从Play Store应用商店下架

日前，有用户声称，卡巴斯基的产品（包括卡巴斯基端点安全软件和卡巴斯基VPN &杀毒软件）在Google Play上已不再可用，该公司的开发者账户也已被禁用。

10月6日，卡巴斯基公司通过其官方论坛表示，目前正在调查为什么其软件在谷歌的应用商店中不再可用。卡巴斯基建议用户从其他应用商店安装，包括Galaxy Store、华为AppGallery和小米GetApps等，也可以通过从卡巴斯基官网下载.apk安装文件来安装。

谷歌在早些时候的声明中证实决定在谷歌Play商店中封杀卡巴斯基及其产品。9月，这家俄罗斯跨国网络安全公司已从美国各地的客户电脑上删除了其反恶意软件，并自动替换成了UltraAV的杀毒解决方案。

参考安全牛

在办公环境中开启iPhone 镜像功能或存在严重的隐私和法律违规风险

网络安全公司 Sevco 日前表示，苹果公司新推出的iPhone镜像功能存在用户隐私泄露风险.风险源自iPhone镜像会将iOS应用程序元数据集成到macOS环境中，允许企业IT部门访问有关个人应用程序的元数据，尽管实际的应用程序数据并不会被传输。如果用户在办公环境的Mac 设备上使用iPhone镜像功能时，运行的所有 iPhone 应用程序都会在 Mac 库中创建一个条目，相关路径如下：

/Users//Library/DaemonContainers//Data/Library/Caches/<_name>

这意味着当公司运行自动化网络审计功能时，可以轻松识别出设备上所有的iPhone应用程序及部分的应用数据。

对于 iPhone 用户来说，这个漏洞可能暴露用户个人生活的敏感信息，包括使用的VPN、约会应用程序或健康相关服务信息，使用户面临法律或社会风险，具体情况取决于用户所在地区。这个问题还给雇主带来了新的责任风险，包括可能违反隐私法。雇主企业可能无意中收集私人数据，如果这些数据管理不当，将面临法律后果。

Sevco目前已经向苹果公司正式报告了这个问题，苹果承认了问题并正在积极修复。在此之前，Sevco建议企业禁用工作设备上的iPhone镜像功能，员工也应该避免在职场环境中使用该功能。

参考安全牛

近日，有“互联网记忆”之称的互联网档案馆（Internet Archive）发生数据泄露事件，黑客成功攻破其网站，盗取了包含3100万条用户认证记录的数据库。

互联网档案馆创立于1996年，是全球最大的数字存档平台之一，保存和提供网络历史、书籍、音频、视频等多种形式的数字内容。最著名的功能是其“时光机”（Wayback Machine，也是此次黑客攻击的目标），允许用户查看过去某一时刻的网站快照，是学术研究、新闻回溯和数据恢复的重要工具。该网站保存了超过20多年的互联网数据，拥有数十亿个网页的历史记录，是全球用户了解和研究互联网变迁的重要资源。

攻击事件发生后，访问archive.org的用户纷纷看到了一条由黑客植入的JavaScript提示信息，内容显示：“你是否曾经觉得互联网档案馆的系统脆弱不堪，随时可能遭遇灾难性的安全漏洞？现在，这个灾难性事件已经发生了。”

黑客的这条消息提到了“Have I Been Pwned”（HIBP），一个由知名安全专家Troy Hunt创建的数据泄露通知服务。Troy Hunt证实，他于9天前收到黑客提供的名为“ia_users.sql”的6.4GB SQL文件，该文件包含了互联网档案馆的用户数据，包括邮箱地址、用户名、bcrypt加密的密码以及其他内部信息。数据库的最新时间戳为2024年9月28日，表明这是数据库被盗的日期。

这次泄露事件中，大约有3100万个独立的电子邮件地址被曝光，部分已经被添加到HIBP服务中，用户可以通过该服务查询他们的个人信息是否受到此次泄露的影响。

在确认数据真实性的过程中，网络安全研究员Scott Helme是被曝光的用户之一。他核实了数据库中bcrypt加密的密码与其密码管理器中存储的密码相匹配，进一步证实了这次数据泄露的严重性。

尽管此次事件引起了广泛关注，但互联网档案馆目前尚未披露具体的黑客入侵方式或其他被盗数据的详细情况。与此同时，该网站还遭受了一次由BlackMeta黑客组织发起的DDoS攻击，导致archive.org和openlibrary.org两大网站暂时下线。目前尚不清楚这次DDoS攻击与数据泄露是否存在关联。

此次事件不仅暴露了互联网档案馆在安全防护方面的不足，也为所有依赖网络服务的组织敲响了警钟：即便是非营利机构，也必须时刻警惕网络攻击风险，及时更新和加固安全防护系统。

参考安全内参

据Bleepingcomputer网站报道，日本科技巨头卡西欧公司近日遭遇网络攻击，有未经授权的攻击者入侵了卡西欧的网络，导致部分业务系统运行中断，并影响了部分线上服务的提供。

卡西欧品牌的母公司卡西欧电脑公司目前已对网络攻击事件进行了官方回应：卡西欧计算机株式会社证实遭到第三方未经授权的访问。经过内部调查，我们发现未经授权的访问导致系统故障，导致部分服务无法提供。我们目前正在调查细节，也邀请了外部专门机构共同协助调查，以确认是否存在任何信息泄露，包括个人信息和其他重要信息。

卡西欧公司同时表示，已向相关数据保护监管机构报告了这起事件，并迅速实施了限制外部人员访问的措施。目前还没有任何勒索软件组织声称对卡西欧遭到的攻击负责。

参考安全牛

日前，英国核监管办公室（ONR）表示，欧洲最大的核废料处理场塞拉菲尔德核废料场（Sellafield）未能达到其自己的网络安全计划中规定的标准、程序和措施，也未能在2019年至2023年期间妥善保护敏感的核信息，因此将对其处以332500英镑罚款。

今年6月，ONR根据《2003年核工业安全条例》对塞拉菲尔德有限公司提起诉讼，指责其涉嫌信息技术安全违法行为。在提交给法院的文件中，英国核监管办公室指出，塞拉菲尔德核废料场多年来一直存在网络安全管理方面的问题，任何运营差错都将带来灾难性影响。

ONR声称，虽然还没有发现这些漏洞已经被利用，但是有充分证据表明，这些安全漏洞不仅会泄露有关核能方面的敏感信息，还给塞拉菲尔德核废料场带来重大安全隐患。针对ONR的指控，Sellafield公司表示认罪并接受处罚。

参考安全内参

Microsoft产品安全漏洞

Microsoft SQL Server是美国微软（Microsoft）公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。Microsoft SharePoint Server是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码。

CNVD收录的相关漏洞包括：Microsoft SQL Server远程代码执行漏洞（CNVD-2024-38791、CNVD-2024-38793、CNVD-2024-38797、CNVD-2024-38795）、Microsoft SharePoint Server远程代码执行漏洞（CNVD-2024-39521、CNVD-2024-39523、CNVD-2024-39524、CNVD-2024-39525）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38791

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38793

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38797

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38795

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39521

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39523

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39524

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39525

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，通过精心制作的HTML页面进行越界内存访问，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Google Chrome跨站脚本漏洞（CNVD-2024-38800）、Google Chrome越界读取漏洞（CNVD-2024-38801）、Google Chrome越界写入漏洞（CNVD-2024-38803）、Google Chrome内存错误引用漏洞（CNVD-2024-38802、CNVD-2024-38804）、Google Chrome代码执行漏洞（CNVD-2024-38799、CNVD-2024-38808）、Google Chrome安全绕过漏洞（CNVD-2024-38807）。其中，除“Google Chrome跨站脚本漏洞（CNVD-2024-38800）、Google Chrome安全绕过漏洞（CNVD-2024-38807）”外其余漏洞的综合评价为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38800

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38799

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38801

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38803

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38802

https://www.cnvd.org.cn/flaw/show/CNVD-2024-3880

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38808

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38807

Apache HertzBeat是美国阿帕奇（Apache）公司的一个可以监控各种组件的工具。Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Allura是美国阿帕奇（Apache）基金会的一套开源项目托管平台。该平台支持管理源代码存储库、错误报告、维基页面和博客等。Apache StreamPipes是美国阿帕奇（Apache）基金会的一个自助式（工业）物联网工具箱，使非技术用户能够连接、分析和探索IIoT数据流。Apache IoTDB是美国阿帕奇（Apache）基金会的一款为时间序列数据设计的集成数据管理引擎，它能够提供数据收集、存储和分析服务等。Apache NiFi是一款用于构建可靠、安全的数据管道的开源工具。它支持从各种来源收集、聚合和传输数据，并提供了强大的数据处理和转换功能。Apache DolphinScheduler是美国阿帕奇（Apache）基金会的一个分布式的基于DAG可视化的工作流任务调度系统。Apache Camel是美国阿帕奇（Apache）基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式，简称EIP)的集成框架。该框架提供企业集成模式的Java对象（POJO）的实现，且通过应用程序接口来配置路由和中介的规则。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取在受害者的浏览器中执行javascript并获取有关受害者的一些敏感信息，探测服务器内网资源，通过发送恶意构造的XML数据来执行远程代码，执行任意代码，从而导致拒绝服务、获取敏感信息等恶意行为等。

CNVD收录的相关漏洞包括：Apache HertzBeat反序列化漏洞、Apache OFBiz代码执行漏洞（CNVD-2024-39150）、Apache Allura跨站脚本漏洞（CNVD-2024-39155）、Apache StreamPipes服务器端请求伪造漏洞、Apache IoTDB服务器端请求伪造漏洞、Apache NiFi远程代码执行漏洞、Apache DolphinScheduler输入验证错误漏洞（CNVD-2024-39158）、Apache Camel反序列化漏洞。其中，除“Apache Allura跨站脚本漏洞（CNVD-2024-39155）、Apache StreamPipes服务器端请求伪造漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39149

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39150

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39155

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39154

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39153

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39160

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39158

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39157

Dell SmartFabric OS10是戴尔公司推出的一款用于其交换机产品的操作系统。Dell InsightIQ是美国戴尔（Dell）公司的一个性能监控和报告工具。Dell OpenManage Server Administrator（Dell OMSA）是美国戴尔（Dell）公司的一种软件代理。以两种方式提供全面的一对一系统管理解决方案。Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。Dell BIOS是美国戴尔（Dell）公司的一个计算机主板上小型内存芯片上的嵌入式软件。Dell NetWorker是美国戴尔（Dell）公司的一个应用程序。提供戴尔公司的论坛讨论功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成信息泄露，导致拒绝服务，在应用程序的底层操作系统上执行任意操作系统命令，并获得特权等。

CNVD收录的相关漏洞包括：Dell SmartFabric OS10命令执行漏洞、Dell InsightIQ授权问题漏洞、Dell InsightIQ加密问题漏洞（CNVD-2024-38774）、Dell InsightIQ访问控制错误漏洞（CNVD-2024-38773）、Dell OpenManage Server Administrator访问控制错误漏洞、Dell PowerScale OneFS授权问题漏洞（CNVD-2024-38779）、Dell BIOS授权问题漏洞（CNVD-2024-38786）、Dell NetWorker命令注入漏洞。其中，“Dell SmartFabric OS10命令执行漏洞、Dell InsightIQ加密问题漏洞（CNVD-2024-38774）、Dell BIOS授权问题漏洞（CNVD-2024-38786）、Dell NetWorker命令注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38776

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38775

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38774

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38773

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38780

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38779

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38786

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38785

Tenda AC8是中国腾达（Tenda）公司的一款无线路由器。本周，Tenda AC8被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39363

小结：本周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码。此外，Google、Apache、DELL等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，通过精心制作的HTML页面进行越界内存访问，在系统上执行任意代码等。另外，Tenda AC8被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。