要聞速覽

1、《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》將提交聯(lián)大表決，我國(guó)發(fā)揮關(guān)鍵作用

2、國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實(shí)施指南》將于2024年12月1日正式實(shí)施

3、AMD曝出“超級(jí)權(quán)限漏洞”，數(shù)億設(shè)備面臨威脅

4、GitHub全球宕機(jī)，微軟Copilot同時(shí)癱瘓

5、通用汽車因非法收集和出售駕駛者隱私數(shù)據(jù)遭起訴

6、英國(guó)一核設(shè)施曝出嚴(yán)重網(wǎng)絡(luò)安全失誤，已造成國(guó)家安全威脅

一周政策要聞

《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》將提交聯(lián)大表決，我國(guó)發(fā)揮關(guān)鍵作用

近日，聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約特委會(huì)順利通過《關(guān)于打擊為犯罪目的使用信息和通信技術(shù)行為的全面國(guó)際公約》（簡(jiǎn)稱《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》)。該條約接下來將于秋季提交聯(lián)合國(guó)大會(huì)進(jìn)行投票。由于投票國(guó)家與之前相同，預(yù)計(jì)該條約將在聯(lián)合國(guó)大會(huì)順利通過。

我國(guó)一貫倡導(dǎo)并支持在聯(lián)合國(guó)談判制定關(guān)于打擊網(wǎng)絡(luò)犯罪的全球性公約，并于2019年共同提出關(guān)于啟動(dòng)公約談判的聯(lián)大第74/247號(hào)決議。2022年以來，中國(guó)作為特委會(huì)副主席國(guó)，以網(wǎng)絡(luò)空間命運(yùn)共同體理念為引領(lǐng)，旗幟鮮明倡導(dǎo)加強(qiáng)打擊網(wǎng)絡(luò)犯罪國(guó)際合作，支持強(qiáng)化發(fā)展中國(guó)家能力建設(shè)，并在談判中與各方開展建設(shè)性對(duì)話，引導(dǎo)各方展現(xiàn)靈活，為最終談成公約發(fā)揮關(guān)鍵作用。

據(jù)了解，該公約是網(wǎng)絡(luò)領(lǐng)域首個(gè)由聯(lián)合國(guó)主持制定的普遍性國(guó)際公約，將在全球范圍內(nèi)為打擊網(wǎng)絡(luò)犯罪國(guó)際合作提供法律框架，對(duì)網(wǎng)絡(luò)空間國(guó)際法發(fā)展有重大意義。

信息來源：信息安全國(guó)家工程研究中心https://mp.weixin.qq.com/s/37x_wjRmYDwTibY_2G61HA

國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實(shí)施指南》將于2024年12月1日正式實(shí)施

國(guó)家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實(shí)施指南》GB/T 44109-2024的發(fā)布與實(shí)施，是我國(guó)數(shù)據(jù)安全治理體系邁向成熟的重要標(biāo)志。據(jù)悉，該標(biāo)準(zhǔn)將于2024年12月1日正式實(shí)施。

該標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)治理實(shí)施過程框架，從數(shù)據(jù)治理的規(guī)劃、執(zhí)行、評(píng)價(jià)、改進(jìn)等方面進(jìn)行了全面系統(tǒng)的闡述，為各企業(yè)、機(jī)構(gòu)的數(shù)據(jù)治理實(shí)施提供了有力的支持。

消息來源：中國(guó)信息協(xié)會(huì)大數(shù)據(jù)分會(huì)  https://www.ciiabd.org.cn/articles/R9xxD9.html

業(yè)內(nèi)新聞速覽

AMD曝出“超級(jí)權(quán)限漏洞”，數(shù)億設(shè)備面臨威脅

在2024年度Defcon黑客大會(huì)上，安全公司IOActive的研究員披露了AMD處理器的一個(gè)名為“Sinkclose”的難以修復(fù)的嚴(yán)重漏洞。這一漏洞影響了自2006年以來發(fā)布的幾乎所有AMD處理器，這意味著數(shù)以億計(jì)的筆記本、臺(tái)式機(jī)和服務(wù)器等設(shè)備都可能成為潛在的攻擊目標(biāo)。

“Sinkclose”漏洞的嚴(yán)重性在于，它允許攻擊者將權(quán)限從操作系統(tǒng)的最高權(quán)限級(jí)別（ring 0，即操作系統(tǒng)內(nèi)核）提升至處理器的最高特權(quán)模式——系統(tǒng)管理模式（System Management Mode, SMM）。在這一模式下，攻擊者可以執(zhí)行惡意代碼，并在系統(tǒng)固件中植入難以檢測(cè)和移除的惡意軟件。更為嚴(yán)重的是，這種惡意軟件可以繞過安全引導(dǎo)等關(guān)鍵安全機(jī)制，即使在操作系統(tǒng)重新安裝后仍然長(zhǎng)期駐留。

目前，AMD雖然發(fā)布了針對(duì)部分最新處理器的更新補(bǔ)丁，但對(duì)于較舊的處理器，AMD決定不提供補(bǔ)丁，這無疑增加了仍在大量使用中的舊型號(hào)處理器的潛在威脅。

消息來源：安全內(nèi)參https://www.secrss.com/articles/69080

GitHub全球宕機(jī)，微軟Copilot同時(shí)癱瘓

FREEBUF 8月15日消息，全球最大的代碼托管平臺(tái) GitHub 近日遭遇了全球性宕機(jī)事件，不僅影響了其網(wǎng)站的正常訪問，還導(dǎo)致多項(xiàng)服務(wù)如pull requests、GitHub Pages和GitHub API等出現(xiàn)故障。

在宕機(jī)期間，前往 GitHub 主網(wǎng)站后頁面會(huì)顯示一條錯(cuò)誤消息（錯(cuò)誤消息中還附有一張憤怒的獨(dú)角獸圖片），提示“當(dāng)前沒有可用于響應(yīng)您請(qǐng)求的服務(wù)器”。

此次宕機(jī)事件的影響范圍相當(dāng)廣泛，Downdetector的數(shù)據(jù)顯示，超過1萬名用戶受到了影響，這其中包括了眾多開發(fā)者和公司?；ヂ?lián)網(wǎng)監(jiān)控服務(wù)BetBlocks也發(fā)布消息，確認(rèn)GitHub經(jīng)歷了跨國(guó)服務(wù)中斷。更有人在 Hacker News 上調(diào)侃稱：“這下所有 AI 原生應(yīng)用開發(fā)者可以正大光明摸魚了，因?yàn)?Copilot 已經(jīng)癱瘓了！”。幸運(yùn)的是，系統(tǒng)目前已經(jīng)恢復(fù)正常運(yùn)行，GitHub 迅速回滾了導(dǎo)致此次事故的數(shù)據(jù)庫(kù)基礎(chǔ)設(shè)施變更，并宣布服務(wù)已經(jīng)“全面恢復(fù)運(yùn)行”。據(jù)了解，GitHub自2018年被微軟以75億美元收購(gòu)后，用戶數(shù)量實(shí)現(xiàn)了強(qiáng)勁增長(zhǎng)，從當(dāng)時(shí)的不到4000萬用戶增長(zhǎng)到現(xiàn)在的7300多萬開發(fā)者用戶。然而，一些用戶認(rèn)為，盡管GitHub的知名度不斷提高，但其在開發(fā)者心中的地位卻逐漸下滑，平臺(tái)的可靠性也成為了一些人關(guān)注的焦點(diǎn)。此次宕機(jī)事件不僅是一個(gè)平臺(tái)的問題，更影響了整個(gè)全球開發(fā)者社區(qū)，無數(shù)項(xiàng)目的開發(fā)進(jìn)程被迫中斷，這也再次突顯了對(duì)單一平臺(tái)依賴的風(fēng)險(xiǎn)。

消息來源：FREEBUF  https://www.freebuf.com/news/408688.html

通用汽車因非法收集和出售駕駛者隱私數(shù)據(jù)遭起訴

日前，美國(guó)德克薩斯州檢察長(zhǎng)辦公室對(duì)通用汽車提起訴訟，指控該汽車制造商非法收集并出售約150萬德州客戶的駕駛數(shù)據(jù)。這一行為不僅侵犯了車主隱私，還涉嫌違反德州法律。

據(jù)調(diào)查，通用汽車自2015年起利用車載技術(shù)收集、記錄、分析并傳輸詳細(xì)的駕駛數(shù)據(jù)，隨后將這些信息出售給第三方公司，包括保險(xiǎn)公司。這些數(shù)據(jù)被用于生成“駕駛評(píng)分”，而車主對(duì)此并不知情。調(diào)查還發(fā)現(xiàn)，通用汽車在車輛過戶過程中強(qiáng)制客戶注冊(cè)O(shè)nStar等產(chǎn)品，否則車輛的安全功能將被停用。通過這種方式，客戶在不知情的情況下同意了數(shù)據(jù)收集和出售。近年來，隨著車輛互聯(lián)程度的提高，汽車數(shù)據(jù)安全問題日益凸顯。例如，日產(chǎn)北美和香港寶馬經(jīng)銷商今年都曾發(fā)生客戶信息泄露事件。特斯拉則被曝出車主攝像頭拍攝的錄音在內(nèi)部消息系統(tǒng)中共享。

英國(guó)一核設(shè)施曝出嚴(yán)重網(wǎng)絡(luò)安全失誤，已造成國(guó)家安全威脅

安全內(nèi)參8月14日消息，英國(guó)最危險(xiǎn)的核設(shè)施——塞拉菲爾德（Sellafield）因一系列網(wǎng)絡(luò)安全失誤面臨刑事指控。近日，該公司對(duì)相關(guān)指控表示認(rèn)罪，并承認(rèn)其失誤可能對(duì)國(guó)家安全構(gòu)成威脅。

法院獲悉，該核廢料堆場(chǎng)中75%的計(jì)算機(jī)服務(wù)器易受網(wǎng)絡(luò)攻擊，可能威脅國(guó)家安全。塞拉菲爾德在過去幾年中發(fā)生了一系列IT失誤，包括外部承包商能無監(jiān)督地將U盤插入系統(tǒng)、服務(wù)器極度不安全等問題。今年6月，該公司承認(rèn)了核監(jiān)管辦公室提出的指控，涉及2019年至2023年間的一系列信息技術(shù)安全違規(guī)行為。目前等待最終判決，預(yù)計(jì)將在9月進(jìn)行。

此次判決是首個(gè)因IT安全被起訴的核設(shè)施案例，塞拉菲爾德已同意支付法律費(fèi)用，并表示已對(duì)系統(tǒng)進(jìn)行重大改進(jìn)以確保更好的保護(hù)和更強(qiáng)的彈性。此次事件不僅是塞拉菲爾德的危機(jī)，也是整個(gè)核能行業(yè)的一次警鐘。

消息來源：安全內(nèi)參https://www.secrss.com/articles/69143

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！