要聞速覽

1、中央網(wǎng)信辦等三部門印發(fā)《信息化標(biāo)準(zhǔn)建設(shè)行動計劃 (2024—2027年)》

2、ISO/IEC JTC1/SC27網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)提案公開征集啟動

3、GitLab 爆出安全漏洞，允許黑客接管賬戶

4、蘋果WiFi定位系統(tǒng)漏洞可監(jiān)控全球數(shù)億設(shè)備

5、俄羅斯最大快遞公司CDEK遭黑客攻擊，業(yè)務(wù)全面停擺

6、超6600名迪卡儂員工隱私信息被竊取

一周政策要聞

中央網(wǎng)信辦等三部門印發(fā)《信息化標(biāo)準(zhǔn)建設(shè)行動計劃 (2024—2027年)》

為深入落實《“十四五”國家信息化規(guī)劃》、《國家標(biāo)準(zhǔn)化發(fā)展綱要》任務(wù)部署，近日，中央網(wǎng)信辦、市場監(jiān)管總局、工業(yè)和信息化部聯(lián)合印發(fā)《信息化標(biāo)準(zhǔn)建設(shè)行動計劃（2024—2027年）》（以下簡稱《行動計劃》），要求加強統(tǒng)籌協(xié)調(diào)和系統(tǒng)推進，健全國家信息化標(biāo)準(zhǔn)體系，提升信息化發(fā)展綜合能力，有力推動網(wǎng)絡(luò)強國建設(shè)。

《行動計劃》圍繞4個方面部署了主要任務(wù)。一是創(chuàng)新信息化標(biāo)準(zhǔn)工作機制，包括完善國家信息化標(biāo)準(zhǔn)體系、優(yōu)化信息化標(biāo)準(zhǔn)管理制度、強化信息化標(biāo)準(zhǔn)實施應(yīng)用。二是推進重點領(lǐng)域標(biāo)準(zhǔn)研制，在關(guān)鍵信息技術(shù)、數(shù)字基礎(chǔ)設(shè)施、數(shù)據(jù)資源、產(chǎn)業(yè)數(shù)字化、電子政務(wù)、信息惠民、數(shù)字文化、數(shù)字化綠色化協(xié)同發(fā)展等8個重點領(lǐng)域推進信息化標(biāo)準(zhǔn)研制工作。三是推進信息化標(biāo)準(zhǔn)國際化，包括深化國際標(biāo)準(zhǔn)化交流合作、積極參加國際標(biāo)準(zhǔn)組織工作、推動國際國內(nèi)標(biāo)準(zhǔn)協(xié)同發(fā)展。四是提升信息化標(biāo)準(zhǔn)基礎(chǔ)能力，包括優(yōu)化標(biāo)準(zhǔn)供給結(jié)構(gòu)、加強標(biāo)準(zhǔn)化人才培養(yǎng)、推動標(biāo)準(zhǔn)數(shù)字化發(fā)展。

信息來源：中華人民共和國國家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-05/29/c_1718573626260067.htm

ISO/IEC JTC1/SC27網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)提案公開征集啟動

為繼續(xù)推進我國網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)化工作，鼓勵更多網(wǎng)絡(luò)安全技術(shù)和應(yīng)用領(lǐng)域優(yōu)秀實踐經(jīng)驗以及科研項目標(biāo)準(zhǔn)成果向國際輸出，網(wǎng)安標(biāo)委秘書處現(xiàn)組織開展SC27國際標(biāo)準(zhǔn)提案（以下簡稱“提案”）征集工作，面向網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)學(xué)研用等相關(guān)單位征集提案，提案優(yōu)先但不限人工智能安全、數(shù)據(jù)安全、個人信息保護、密碼算法、物聯(lián)網(wǎng)安全、關(guān)鍵信息基礎(chǔ)設(shè)施安全、供應(yīng)鏈安全等我國具有技術(shù)優(yōu)勢和豐富實踐應(yīng)用經(jīng)驗等領(lǐng)域。

有意單位請于2024年6月28日前提交紙質(zhì)和電子版材料至秘書處（liuzh1@cesi.cn），將按規(guī)定程序?qū)彶楹笊蠄髧覙?biāo)準(zhǔn)委。

業(yè)內(nèi)新聞速覽

GitLab 爆出安全漏洞，允許黑客接管賬戶

近日，GitLab 又爆出一個安全漏洞（被追蹤為 CVE-2024-4835），未經(jīng)認證的威脅攻擊者能夠利用該漏洞在跨站腳本 (XSS) 攻擊中，輕松接管受害者賬戶。

GitLab 是一個流行的基于網(wǎng)絡(luò)的 Git 存儲庫，擁有約 3000 萬注冊用戶和 100 萬付費客戶。為了修復(fù)這個漏洞，GitLab 發(fā)布了 17.0.1、16.11.3 和 16.10.6 版本，并建議所有用戶立即升級。

CVE-2024-4835 是 VS 代碼編輯器（Web IDE）中的一個 XSS 缺陷，盡管需要用戶交互，但攻擊者仍可能利用它來竊取信息。此外，GitLab 還修復(fù)了其他六個中等嚴(yán)重程度的安全漏洞，包括 CSRF 漏洞（CVE-2023-7045）和拒絕服務(wù)漏洞（CVE-2024-2874）。

GitLab 存儲了包括 API 密鑰和專有代碼在內(nèi)的敏感數(shù)據(jù)，因此成為了攻擊者的目標(biāo)。一旦攻擊者成功插入惡意代碼，可能導(dǎo)致賬戶被劫持，引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。

此前，CISA 曾發(fā)出警告，攻擊者正在利用 GitLab 的另一個漏洞 CVE-2023-7028 進行攻擊。而 2023 年 5 月，GitLab 發(fā)布了 16.0.1 版來修復(fù)一個嚴(yán)重性路徑遍歷漏洞 CVE-2023-2825，該漏洞允許未經(jīng)認證的攻擊者讀取任意文件。幸運的是，這個漏洞只在特定條件下觸發(fā)，即當(dāng)公共項目中的附件嵌套在至少五個組中。

消息來源：FREEBUFhttps://www.freebuf.com/news/401772.html

蘋果WiFi定位系統(tǒng)漏洞可監(jiān)控全球數(shù)億設(shè)備

近日，蘋果的Wi-Fi定位服務(wù)（WPS）被曝存在嚴(yán)重漏洞，這一漏洞可能被濫用以監(jiān)控全球用戶的隱私，即便非蘋果設(shè)備用戶也難以幸免。

美國馬里蘭大學(xué)的安全研究人員在論文《使用基于Wi-Fi的定位系統(tǒng)監(jiān)測人群》中詳細描述了蘋果WPS的設(shè)計缺陷。

根據(jù)論文描述，WPS定位主要有兩種工作方式：一是計算客戶端位置并返回這些坐標(biāo)；二是返回提交的BSSID（基本服務(wù)集標(biāo)識符）的地理位置（與AP硬件相關(guān)聯(lián)），并讓客戶端進行計算以確定其位置。

其中谷歌的WPS采用前者，安卓手機會記錄它能看到的BSSID及其信號強度，并將數(shù)據(jù)發(fā)送到谷歌服務(wù)器，服務(wù)器使用WPS數(shù)據(jù)庫計算手機的位置，并將其發(fā)送給手機。與谷歌的WPS相比，蘋果系統(tǒng)不僅返回請求的BSSID位置，還會額外返回多達400個附近BSSID的位置，且這一過程無需認證、沒有速率限制，且完全免費。

通過向蘋果WPS的API發(fā)送請求，研究人員能夠在一個月內(nèi)收集到超過十億個BSSID的位置數(shù)據(jù)，并利用這些數(shù)據(jù)繪制出設(shè)備在全球范圍內(nèi)的移動地圖。更令人擔(dān)憂的是，他們甚至利用這一漏洞追蹤了俄烏沖突區(qū)域的軍事設(shè)備移動情況，充分展示了這一漏洞的嚴(yán)重性和潛在的危險性。

消息來源：快科技  https://news.mydrivers.com/1/982/982398.htm

俄羅斯最大快遞公司CDEK遭黑客攻擊，業(yè)務(wù)全面停擺

近日，俄羅斯最大的快遞公司之一 CDEK 遭遇了網(wǎng)絡(luò)攻擊，這次攻擊導(dǎo)致該公司的服務(wù)中斷數(shù)日。

黑客組織“Head Mare”公開宣布對此次攻擊負責(zé)，他們不僅利用勒索軟件加密了CDEK的服務(wù)器數(shù)據(jù)，還銷毀了公司的系統(tǒng)備份，進一步加劇了危機。盡管CDEK最初試圖將服務(wù)中斷歸咎于“大規(guī)模技術(shù)故障”，但隨后有內(nèi)部消息人士和俄羅斯國家杜馬信息政策委員會主席證實，這實際上是一起由網(wǎng)絡(luò)攻擊造成的嚴(yán)重安全事件。黑客組織在X平臺上公開披露了攻擊細節(jié)，批評CDEK的安全措施薄弱，并指責(zé)其系統(tǒng)管理員防御能力低下。CDEK公司表示，他們正在全力恢復(fù)服務(wù)。然而，由于攻擊造成的嚴(yán)重后果，公司面臨著巨大的挑戰(zhàn)，包括如何恢復(fù)被加密的數(shù)據(jù)和重建被摧毀的系統(tǒng)。此外，CDEK的客戶也受到了嚴(yán)重的影響，許多人在社交媒體和媒體上發(fā)表評論，抱怨包裹投遞的延誤。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/66611

超6600名迪卡儂員工隱私信息被竊取

據(jù)報道，最近發(fā)生的一起數(shù)據(jù)泄露事件導(dǎo)致迪卡儂西班牙員工的個人信息被盜。名為 888 的威脅行為者已承認對迪卡儂數(shù)據(jù)泄露事件負責(zé)，據(jù)稱該事件涉及一個包含這家著名體育用品零售商 6644 名員工敏感信息的數(shù)據(jù)庫。

據(jù)報道，該數(shù)據(jù)庫包含員工的電子郵件地址、總部信息和交通活動。該聲明通過社交媒體平臺 X（以前稱為Twitter）上的多篇帖子傳播，表明不僅員工信息，而且潛在的敏感客戶數(shù)據(jù)也可能被泄露。此外，威脅行為者還提供了迪卡儂泄露數(shù)據(jù)庫的樣本。

一旦確認數(shù)據(jù)泄露，迪卡儂可能會失去客戶信任，進而影響其銷售和整體市場地位。如果數(shù)據(jù)泄露被確認，迪卡儂還可能面臨巨額法律和經(jīng)濟處罰。

消息來源：安全客https://www.anquanke.com/post/id/296889

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！