要聞速覽

1、兩部門印發(fā)《全國重點城市IPv6流量提升專項行動工作方案》

2、《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》出臺

3、麻省理工首發(fā)AI風(fēng)險管理數(shù)據(jù)庫，全面覆蓋777種風(fēng)險

4、攻擊手法罕見！ESET披露最新網(wǎng)絡(luò)釣魚活動

5、WPS曝出兩個嚴(yán)重漏洞 已被武器化且在野利用

6、豐田再發(fā)數(shù)據(jù)泄露事件，涉及240GB員工和客戶信息

一周政策要聞

兩部門印發(fā)《全國重點城市IPv6流量提升專項行動工作方案》

貫徹落實中央網(wǎng)信委決策部署，按照《深入推進(jìn)IPv6規(guī)模部署和應(yīng)用2024年工作安排》要求，中央網(wǎng)信辦、工業(yè)和信息化部組織開展全國重點城市IPv6流量提升專項行動，覆蓋北京市、天津市、上海市、深圳市、杭州市、合肥市、無錫市、煙臺市等8個重點城市。為此，近日兩部門印發(fā)《全國重點城市IPv6流量提升專項行動工作方案》，旨在敦促相關(guān)單位抓好貫徹執(zhí)行，加強(qiáng)統(tǒng)籌協(xié)調(diào)，壓實工作責(zé)任，按期保質(zhì)完成專項行動目標(biāo)任務(wù)，有效發(fā)揮示范引領(lǐng)作用，帶動全國IPv6發(fā)展水平再上新臺階。

《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》出臺

據(jù)了解，近日證監(jiān)會在系統(tǒng)內(nèi)印發(fā)了《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》，以規(guī)定證券期貨業(yè)信息系統(tǒng)的信創(chuàng)分類方法。信息系統(tǒng)分類采用層次劃分法，共分三層。層層細(xì)分，逐級細(xì)化，形成清晰的信息系統(tǒng)分類結(jié)構(gòu)，并對每個技術(shù)功能域是否為核心功能域進(jìn)行說明。

推出《證券期貨業(yè)信息系統(tǒng)信創(chuàng)分類》旨在加快構(gòu)建證券期貨業(yè)信息技術(shù)應(yīng)用創(chuàng)新標(biāo)準(zhǔn)體系，提升行業(yè)信創(chuàng)工作中信息系統(tǒng)分類的規(guī)范化水平。

業(yè)內(nèi)新聞速覽

麻省理工首發(fā)AI風(fēng)險管理數(shù)據(jù)庫，全面覆蓋777種風(fēng)險

日前，麻省理工學(xué)院（MIT）的研究團(tuán)隊發(fā)布了一個名為“人工智能風(fēng)險庫”的動態(tài)數(shù)據(jù)庫，匯集了777個與人工智能（AI）相關(guān)的潛在風(fēng)險，其目標(biāo)是提供一個易于訪問和定期更新的風(fēng)險概覽。

這個數(shù)據(jù)庫從43個分類法中提取信息，將AI風(fēng)險分為“因果分類”和“七個不同領(lǐng)域”兩個維度，旨在為AI治理提供全面的知識基礎(chǔ)。盡管該數(shù)據(jù)庫存在一些局限性，如僅限于43個分類中的風(fēng)險，可能缺少新興或特定領(lǐng)域的風(fēng)險，但它仍然是目前最全面、系統(tǒng)的AI風(fēng)險匯編之一。研究團(tuán)隊在摘要中指出，這是“首次嚴(yán)格策劃、分析和提取人工智能風(fēng)險框架，形成一個公開可訪問、全面、可擴(kuò)展和分類的風(fēng)險數(shù)據(jù)庫”。

這個數(shù)據(jù)庫的發(fā)布標(biāo)志著AI風(fēng)險管理進(jìn)入了一個新階段。它不僅為研究人員和政策制定者提供了寶貴的參考資源，也為企業(yè)和組織在開發(fā)和部署AI系統(tǒng)時提供了重要的風(fēng)險評估工具。

消息來源：GoUpSechttps://baijiahao.baidu.com/s?id=1807966111642317189&wfr=spider&for=pc

攻擊手法罕見！ESET披露最新網(wǎng)絡(luò)釣魚活動

最近，研究人員發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)釣魚活動，可巧妙利用漸進(jìn)式網(wǎng)絡(luò)應(yīng)用（PWA）技術(shù)針對安卓和iPhone用戶發(fā)起攻擊，使得即便被認(rèn)為相對安全的iOS平臺用戶也難以防范。

ESET研究人員通過一個針對一家知名捷克銀行客戶的案例對此攻擊進(jìn)行分析。攻擊者結(jié)合自動語音電話、短信和社交媒體惡意廣告?zhèn)鞑メ烎~鏈接。在安卓設(shè)備上，這種技術(shù)悄悄安裝一種特殊類型的APK（稱為WebAPK），看起來像是從Google Play商店安裝的正常應(yīng)用。對于iOS用戶，釣魚網(wǎng)站會誘導(dǎo)受害者將PWA添加到主屏幕。這一釣魚活動之所以能夠成功，正是由于PWA技術(shù)的應(yīng)用。PWA是使用傳統(tǒng)網(wǎng)絡(luò)應(yīng)用技術(shù)構(gòu)建的應(yīng)用，能夠在多個平臺和設(shè)備上運(yùn)行。WebAPK是PWA的升級版，安裝WebAPK 時不會出現(xiàn)“來自不受信任來源的安裝”警告，即使用戶未允許從第三方來源安裝，應(yīng)用仍然會被安裝。無論是在安卓還是iOS上，這些釣魚應(yīng)用與真實銀行應(yīng)用幾乎無法區(qū)分。目前，大多數(shù)已知案例發(fā)生在捷克，只有少數(shù)出現(xiàn)在匈牙利和格魯吉亞。ESET已迅速將發(fā)現(xiàn)的敏感信息通報給受影響的銀行，并協(xié)助關(guān)閉了多個釣魚域名和C&C服務(wù)器。

消息來源：FREEBUF  https://www.freebuf.com/news/409102.html

WPS曝出兩個嚴(yán)重漏洞 已被武器化且在野利用

快科技8月20日消息，WPS Office近日被ESET披露存在兩個高危安全漏洞，編號分別為CVE-2024-7262和CVE-2024-7263，CVSS評分高達(dá)9.3。

鑒于漏洞的嚴(yán)重性，建議所有WPS用戶立即升級到最新版本（12.2.0.17153或更高版本）。安全研究人員發(fā)現(xiàn)CVE-2024-7262漏洞已被利用，攻擊者通過分發(fā)帶有惡意代碼的電子表格文檔來觸發(fā)該漏洞，實現(xiàn)“單擊即中”的遠(yuǎn)程代碼執(zhí)行攻擊，可能導(dǎo)致數(shù)據(jù)失竊、勒索軟件感染或更嚴(yán)重的系統(tǒng)破壞。漏洞位置均在WPS Office的promecefpluginhost.exe組件中，由于不恰當(dāng)?shù)穆窂津炞C，攻擊者能夠加載并執(zhí)行任意的Windows庫文件。盡管金山軟件針對CVE-2024-7262發(fā)布了補(bǔ)丁版本12.2.0.16909，但很快被發(fā)現(xiàn)修復(fù)不徹底，CVE-2024-7263漏洞利用了修復(fù)過程中忽略的參數(shù)，使攻擊者能夠繞過安全措施。除了更新軟件版本外，用戶近期最好不打開來源不明的文件，尤其是可能含有惡意代碼的電子表格和文檔。此外還有未經(jīng)證實的消息表示，可能只有WPS國際版受到影響，國內(nèi)版本或不受影響，但出于安全考慮，還是建議升級到最新版本。

豐田再發(fā)數(shù)據(jù)泄露事件，涉及240GB員工和客戶信息

據(jù)BleepingComputer消息，一名黑客在論壇上發(fā)帖稱自己從豐田美國分公司竊取的240GB數(shù)據(jù)，豐田官方隨后表示這一情況屬實。

根據(jù)這名黑客的描述，這些數(shù)據(jù)不僅涉及豐田員工和客戶的信息，還包括合同和財務(wù)信息，并通過AD-Recon搜集了更多類型的數(shù)據(jù)。

雖然豐田沒有透露這次數(shù)據(jù)泄露的日期，以及黑客是通過何種方式入侵并竊取了多少人的數(shù)據(jù)，但 BleepingComputer 發(fā)現(xiàn)這些文件被至少是在 2022 年 12 月 25 日創(chuàng)建的。這個日期可能表明，攻擊者訪問了存儲數(shù)據(jù)的備份服務(wù)器。

豐田表示，這次事件不是系統(tǒng)范圍的問題，影響程度有限，并正在與受影響的人員保持接觸以提供必要的幫助。

消息來源：FREEBUFhttps://www.freebuf.com/news/409015.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！