教育网络安全动态

2022年12月第2期（2022.12.9-2022.12.15）

一、政策要闻

1.中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动

为规范移动互联网应用程序信息服务管理，深入治理APP、小程序、快应用等应用程序乱象，进一步压实应用程序分发平台主体责任，促进行业健康有序发展，中央网信办开展“清朗·移动互联网应用程序领域乱象整治”专项行动。

专项行动要求加强移动互联网应用程序全链条管理，全面规范移动应用程序在搜索、下载、使用等环节的运营行为，着力解决损害用户合法权益的突出问题，深入治理当前各种乱象，净化网络环境，营造清朗网络空间。

（来源：网信北京）

2.国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

近日，国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》（以下简称《规定》），自2023年1月10日起施行。国家互联网信息办公室有关负责人表示，出台《规定》，旨在加强互联网信息服务深度合成管理，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。近年来，深度合成技术快速发展，在服务用户需求、改进用户体验的同时，也被一些不法人员用于制作、复制、发布、传播违法和不良信息，诋毁、贬损他人名誉、荣誉，仿冒他人身份实施诈骗等，影响传播秩序和社会秩序，损害人民群众合法权益，危害国家安全和社会稳定。出台《规定》，是防范化解安全风险的需要，也是促进深度合成服务健康发展、提升监管能力水平的需要。

（来源：网信中国）

3.快递客服出售用户信息获利24万，夫妻俩双双获刑

近日，王某涛在某快递公司工作期间，利用担任快递客服的工作便利，单独或者伙同其妻子董某婷，通过公司系统查询收集大量寄递用户的公民个人信息向他人出售，非法获利24万余元。经审查，被非法出售的公民信息含有姓名、地址、电话号码，买家购买信息系用于推销产品，故信息类型属于普通公民个人信息。

当地邮政管理部门对快递公司负有监管责任，检察机关针对其履职不到位问题发出行政公益诉讼诉前检察建议，邮政管理局高度重视，组织开展专项整治，后整改到位。

（来源：安全圈）

二、技术资讯

4.CNNVD关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞56个。包括Microsoft Graphics Component 安全漏洞（CNNVD-202212-3145、CVE-2022-26804）、Microsoft Graphics Component 安全漏洞（CNNVD-202212-3123、CVE-2022-26805）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：CNNVD安全动态）

5.Chrome支持无密码身份验证Passkeys

Google宣布Chrome Stable M108加入对无密码身份验证Passkeys的支持。密码容易被钓鱼或被泄露，Passkeys是密码的替代，它不能复用，也不会被泄露。常用的Passkeys设备是手机，应用或网站会在用户尝试登录时向配对的手机推送请求进行身份验证。

最新版本的Chrome在 Windows 11、macOS 和Android上将启用Passkeys，在Android上，它将通过Google Password Manager或其它支持passkeys的密码管理器同步。

（来源：汇能云安全）

6.VMware 修补了在 Geekpwn中被利用的虚拟机逃逸漏洞

虚拟化技术巨头VMware发布了紧急更新，以修复多个软件产品中的三个安全问题，包括在GeekPwn 2022黑客挑战赛中利用的虚拟机逃生漏洞。在安全公告中，VMWare的CVSS严重等级为9.3/10，并警告说，在虚拟机上具有本地管理权限的恶意行为者可能会利用此问题在主机上运行的虚拟机VMX进程时执行代码。

（来源：汇能云安全）

三、国际视野

7.欧盟理事会通过“实现高度共同网络安全”新立法

近日，欧盟理事会通过了一项有助于维护欧盟网络安全的新立法——《关于在欧盟全境实现高度统一网络安全措施的指令》（以下简称“NIS2指令”），以进一步提高公共和私营部门以及整个欧盟的网络安全、弹性及事件响应能力。

据了解，NIS2指令将正式建立欧洲网络危机联络组织网络EU-CyCLONe，支持大规模网络安全事件和危机的协调管理。国际舆论称，新立法表明欧盟正在履行提高网络安全标准的承诺，加强防范网络威胁的能力。

（来源：汇能云安全）

8.优步在供应商遭到攻击后遭遇新的数据泄露

近期，一个名为“UberLeaks”的威胁行为者开始在一个以发布数据泄露而闻名的黑客论坛上泄露他们声称从Uber和Uber Eats窃取的数据。泄露的数据包括大量档案，声称是与Uber和Uber Eats以及第三方供应商服务使用的移动设备管理平台（MDM）相关的源代码。

在威胁行为者泄露了在网络安全事件中从第三方供应商窃取的员工电子邮件地址、公司报告和 IT 资产信息后，优步遭受了新的数据泄露。

（来源：汇能云安全）

9.全球超过500万人的数据在机器人市场出售

近期，立陶宛公司的研究报告指出，全球有超过500万人的数据在被窃取之后放在机器人网络上售卖。其中影响最严重的是印度，共有60万印度账户信息在机器人网络上销售，平均每个账号的售价为490卢比（约合41.49元人民币）。

报告中指出这些被盗的数据包括用户登录凭证、cookies、数字指纹、屏幕截图和其它相关信息。研究人员在他们的研究中发现了6.67亿个cookie，8.1万个数字指纹，53.8 万个自动填写表格，大量的设备屏幕截图和网络摄像头抓拍。

（来源：汇能云安全）

以上内容不代表本部门观点，如有侵权请及时联系我们。