教育网络安全动态

2022年10月第1期（2022.9.30-2022.10.13）

一、政策要闻

1.上海网信办：某科技公司违反《数据安全法》被行政处罚

近期，上海网信办发现，某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定，上海网信办将针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

（来源：网信上海）

2.河南一高校学信网信息泄露

近日，河南信阳师范学院多名学生学信码被盗用，苹果教育优惠代码被使用。事件情况是：8月28日，校学生会一名学生干部参加社会实践活动期间，应郑州泽梦企业管理咨询有限公司业务人员要求，协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动，通过学生干部QQ交流群发布调查问卷，组织2020级和2021级学生参加问卷调查。经查，该调查问卷最后一题是要求学生登录学信网并填写学信码，涉事公司事前向该生隐瞒了学信码的真实用途，该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实，确实存在部分学生学信码被盗用情况，造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

学校有关部门已经报警，并与公安、网信部门保持密切联系，开展进一步调查，以确保学生信息安全。

（来源：央广网）

3.新国标拟规范预装App：不可卸载App宜提供停止使用选项

10月9日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 智能手机预装应用程序基本安全要求》（征求意见稿）并向社会公开征求意见。征求意见稿提出，不可卸载应用程序宜提供停止使用功能，用户选择停止使用后，不可卸载应用程序不应再对用户个人信息进行处理。

值得注意的是，征求意见稿专设“个人信息安全要求”小节，对于预装应用程序对个人信息和敏感个人信息的收集和处理做出具体要求。

（来源：隐私护卫队）

二、技术资讯

4.CNNVD关于微软多个安全漏洞的通报

微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞88个，影响到微软产品的其他厂商漏洞1个。包括Microsoft Azure Kubernetes 安全漏洞（CNNVD-202210-553、CVE-2022-37968）、Microsoft Exchange Server 安全漏洞（CNNVD-202208-2493、CVE-2022-21980）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

（来源：CNNVD安全动态）

5.关于 Fortinet FortiOS 安全漏洞情况的通报

国家信息安全漏洞库（CNNVD）收到关于Fortinet FortiOS 安全漏洞（CNNVD-202210-347、CVE-2022-40684）情况的报送。成功利用漏洞的攻击者，可在未经身份验证的情况下获得对管理界面的访问权限，从而最终控制目标系统。Fortinet FortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy 7.0.0版至7.0.6版、7.2.0版等多个版本均受此漏洞影响。目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

（来源：CNNVD安全动态）

6.Intel确认Alder Lake BIOS的源代码泄露

Alder Lake 是Intel 2021年11月发布的第12代核心处理器。10月7日，有名为freak的推特用户在推特上发布了一个链接称是Intel Alder Lake的UEFI固件。该链接是名为LCFCASD的用户发布的GitHub库——ICE_TEA_BIOS。Freak称ICE_TEA_BIOS库中包含C970项目的BIOS源代码。泄露的数据大小为5.97GB，包括文件、源代码、使用、修改日志、编译工具等，最新的时间戳为2022年9月30日。Intel发言人已经确认了源代码泄露事件的真实性，并称是其专有的UEFI代码。但不认为存在任何的安全漏洞。

（来源：嘶吼专业版 ）

三、国际视野

7.泄露约30万用户信息，丰田公开道歉

据路透社报道，丰田汽车公司旗下T-Connect服务出现安全事故，近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等，影响范围包括2017年7月以来使用电子邮件地址注册服务的用户。根据丰田发布的公告，此次信息泄露事件的原因让车主感到无比气愤。开发T-Connect网站的承包商在 2017 年 12 月至2022年 9 月 15 日期间意外上传了部分源代码，从而导致用户信息泄露。

（来源：FreeBuf）

8.美国拟立法保护开源软件：首次认定为公共数字基础设施

美国参议院国土安全和政府事务委员会就一项新法案投票通过，希望解决开源软件给政府机构带来的安全风险。该法案由民主党参议员加里·彼得斯（Gary Peters）和共和党参议员罗伯·波特曼（Rob Portman）发起，名为《保护开源软件法案》。《法案》提出，开源软件是互联网基础设施的一部分，联邦政府应在确保开源软件长期安全上发挥支持作用；《法案》要求推行软件物料清单制度，CISA牵头发布开源软件风险框架，联邦机构应据此定期开展安全评估，确保安全使用。

（来源：安全内参）

9.303个！Chrome或成2022年漏洞最多的浏览器

近日的一项研究表明，Chrome是目前安全性最差的浏览器，在调研的 5 款浏览器中漏洞最多。该研究来自于 AtlasVPN，根据该报告（只记录漏洞总数，不分析漏洞的严重性），Chrome 浏览器在今年已经被记录了 303 个漏洞，其中甚至有部分漏洞是在10月刚刚出现并被记录的，以近乎于“碾压”的数量成为漏洞最多的浏览器。相比之下，排名第二名的Firefox只有117个漏洞，而位列第三，并一样采用Chromium内的Edge更是只有103个漏洞。

（来源：安全客 ）

以上内容不代表本部门观点，如有侵权请及时联系我们。