一周安全动态

2021年7月第1期（2021.6.22-6.30）

一、政策要闻

1.“两高一部”发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》

2021年6月22日，最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》（以下简称《意见二》）正式公布。最高人民法院刑三庭副庭长李睿懿，最高人民检察院第四检察厅副厅长刘太宗，公安部刑事侦查局副局长姜国利出席发布会，介绍相关情况并回答记者提问，最高人民法院新闻局副局长王斌主持发布会。

（来源：最高人民法院）

2.我国SM4分组密码算法作为ISO/IEC 18033-3: 2010 补篇正式发布

2021年6月，我国SM4分组密码算法作为ISO/IEC 18033-3:2010/AMD1:2021《信息技术 安全技术 加密算法 第3部分：分组密码 补篇1：SM4》正式发布。ISO/IEC 18033-3:2010包含了64位分组密码算法（TDEA、MISTY1、CAST-128、HIGHT）和128位分组密码算法（AES、Camellia、SEED），新发布的补篇主要包含我国的SM4分组密码算法。

（来源：信安标委）

3.国家广电总局公示《广播电视网络安全等级保护基本要求》报批稿

按照广播电视和网络视听行业标准制定程序要求和计划安排，国家广播电视总局组织相关单位制定《广播电视网络安全等级保护基本要求》一项行业标准，现对已通过全国广播电影电视标准化技术委员会审查的报批稿予以公示。

（来源：国家广电总局）

4.盗取医院“统方”数据牟利，一被告人被判相关工作“从业禁止”

近日，上海黄浦区人民法院审理了一起医院外包软件运维人员非法下载“统方”数据并出售牟利的案件，两名被告人因犯非法获取计算机信息系统数据罪而获刑。同时，区法院还依法对其中的一名被告人作出“从业禁止”，禁止其在刑罚执行完毕后三年内从事计算机信息系统维护管理相关工作。这也是上海法院首次对此类犯罪的被告人适用从业禁止令。

（来源：安全学习那些事）

二、技术资讯

5.戴尔电脑曝出漏洞：可被远程控制3000万台

安全研究机构Eclypsium发现，戴尔的远程BIOS升级软件出现了一个严重漏洞，会导致攻击者劫持BIOS的下载请求，并使用经过修改的文件进行攻击，使得黑客可以控制系统的启动过程，破坏操作系统。本次受到影响的设备多达3000万台，包括笔记本电脑、台式机和平板电脑等，出现问题的软件是BIOSConnect，它是戴尔的SupportAssistant的一部分，该软件预装在大多数戴尔的Windows设备上。

（来源：聚铭网络）

6.研究人员披露Lexmark打印机中存在任意代码执行0day

研究人员披露利盟（Lexmark）打印机中存在任意代码执行0day。该漏洞存在于Lexmark打印机软件G2安装包中，是由LM__bdsvc服务中的一个未加引号的服务路径漏洞导致的，其CVSSv3基本评分为8.4。研究人员称，攻击者可以利用一个特制的可执行文件来利用该漏洞，在目标系统上执行任意代码。目前该漏洞尚未修复，也没有任何可用的缓解措施。

（来源：启明星辰集团ADLab）

7.微软Edge浏览器bug可能让攻击者窃取你的任意信息

微软近期推出了Edge浏览器更新，修复了两个安全问题。其中一个就是利用网页翻译功能发起攻击，它可以在网站代码中注入和执行任意代码。该漏洞被追踪为CVE-2021-34506(CVSS评分：5.4)，源于一个通用的跨网站脚本(UXSS)问题，该问题会在使用Edge浏览器内置的自动翻译网页功能时被触发。微软在6月24日(版本91.0.864.59)修复了该问题。

（来源：51CTO）

8.微软称其客户支持工具被SolarWinds黑客入侵

微软表示，一名微软客服人员的电脑被入侵，导致其部分客户支持工具被黑客组织Nobelium访问，该组织也与SolarWinds攻击有关。该客服人员的访问权限虽有限，但也能够看到客户使用的服务和他们的账单联系信息等内容。据微软称，黑客利用从工具中收集到的信息，开始对特定的微软客户进行“高度针对性”的攻击。

（来源：安全内参 ）

三、国际视野

9.奔驰近千名用户数据遭泄露，包括驾驶执照及信用卡信息等

近期，一家供应商通知奔驰发生数据泄露事件。奔驰随即展开调查并发布初步结果，称在评估了160万份数据后，发现共计不到1000人的个人信息处于公开可访问状态，受影响的是2014年至2017年期间，在奔驰公司和经销商网站输入敏感信息的客户和潜在购车者。这些信息包括个人申报的信用得分，小部分人的驾驶证号码、社会保险号码、信用卡信息和出生日期。

（来源：安全学习那些事）

10.欧盟宣布成立网络安全应急响应部门

6月23日，欧盟委员会宣布成立联合网络部门（Joint Cyber Unit），负责协调对袭击欧盟成员国的大规模网络攻击的联合响应。新部门将与目前的欧盟机构分开运作，只在发生大规模安全事件的情况下插手（比如影响到一个以上国家，并申请他们协助），协调现有欧盟机构和各国政府之间的资源、通信、联合响应计划。联合网络部门将作为协调中枢联络以下部门：欧盟网络安全局、欧盟CERT、欧洲刑警组织下属网络犯罪中心、计算机应急小组（CSIRT）、欧盟网络危机联络组织网络、欧洲对外行动署、欧洲防务署等。

（来源：聚铭网络）

11.全球西部数据NAS存储设备数据被神秘擦除

在 6 月 24 日发布的官方公告中，西部数据已经确定，一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下，攻击者已经触发了出厂重置，似乎是要删除设备上的所有数据。被利用的漏洞目前编号为CVE-2018-18472，这是一个根远程命令执行(RCE)漏洞，在CVSS 严重性评级为9.8。该公司还在调查受影响客户的潜在恢复方案。

（来源：今日头条）

12.纽约州政府IT部门一个内部代码库遭泄露

据外媒，纽约州政府IT部门使用的一个代码库被暴露在互联网上，允许任何人访问里面的项目，其中一些项目包含与州政府系统相关的秘密密钥和密码。暴露的GitLab服务器于周六被总部位于迪拜的SpiderSilk发现。SpiderSilk分享的几张截图显示，GitLab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改，这家初创公司请求帮助，向州政府披露这一安全漏洞。

（来源：51CTO）

13.以色列20多万名学生的个人信息遭到泄露

据外媒报道，近期，约28万名以色列学生的个人信息在针对AcadeME公司的网络攻击中被泄露。据Jerusalem Post报道，Think Safe Cyber Facebook组织的May Brooks-Kempler估计，约有28万名在校学生的个人信息被盗。

（来源：安全内参）

14.7亿LinkedIn用户信息在地下论坛售卖

安全公司Privacy Sharks的分析师偶然发现，在流行黑客论坛RaidForums上，一个自称“TomLiner”的用户正在出售LinkedIn的数据，该帖子于6月22日发布，声称缓存了7亿条记录，并放出100万条记录的样本作为“证明”。Privacy Sharks检查了这份样本，发现记录内容包括全名、性别、邮件地址、电话号码和行业信息。

（来源：安全内参）

以上内容不代表本部门观点，如有侵权请及时联系我们。