当前位置: 首页 > 网络安全 > 正文

网络安全一周安全头条(2020.7.27-2020.8.02)

【来源: | 发布日期:2020-08-02 】

行业动态 工信部 APP专项整治 个人信息保护

近日,工信部印发《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,要求今年8月底前上线运行全国APP技术检测平台管理系统,12月10日前完成覆盖40万款主流APP检测工作。专项整治行动将督促相关企业及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题,净化APP应用空间。

行业动态 政策法规 APP专项整治 违规认定

为落实《网络安全法》相关要求,围绕中央网信办等四部门联合制定的《App违法违规收集使用个人信息行为认定方法》,基于App专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》,信安标委秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》。指南归纳总结了App收集使用个人信息的六项评估点。

行业动态 印度 APP禁用

在印度宣布对TikTok、微信等59款中国手机应用程序的禁令不到一个月的时间,印度又将对腾讯旗下游戏“绝地求生”、小米短视频应用Zili、阿里巴巴网络购物应用AliExpress等另外275款中国应用程序(APP)进行审查,以确定其是否存在任何损害印度国家安全及侵犯用户隐私的行为。

行业动态 字节跳动 TikTok 微软

此前,字节跳动被曝可能被迫出售TikTok给到微软,因为华盛顿考虑在美国禁用这款应用。并于8月1日宣布将完全剥离TikTok在美国的业务,由微软接盘。但昨日微软又宣布暂停收购视频分享应用TikTok的美国业务,但谈判据信尚未终结,两家公司正试图弄清楚白宫的立场。据称,微软希望保持TikTok独立运营。

漏洞补丁 NEC 基础设施

7月30日,全球IT、通信网络的领先供应商NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响所有中小企业及政府。需要注意的是,被爆出的这些漏洞去年就一直存在。

http://www.techweb.com.cn/ucweb/news/id/279912

漏洞补丁 Linux Windows

7月30日,网络安全研究人员披露了一个位于GRUB2引导程序中的高风险漏洞BootHole(CVE-2020-10713),该漏洞影响了全球数十亿设备,几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站,笔记本电脑,台式机及IoT系统。一旦被利用,该漏洞可让攻击者避开安全启动功能,并获得高度特权,隐身访问目标系统。

https://www.freebuf.com/news/245060.html

漏洞补丁 Apple

多款Apple产品中的ImageIO组件存在安全漏洞,漏洞编号CVE-2020-9871。攻击者可借助恶意制作的图像利用该漏洞执行任意代码。以下产品及版本受到影响:Apple iOS 13.6之前版本;iPadOS 13.6之前版本;macOS Catalina 10.15.6之前版本;基于Windows平台的iTunes 12.10.8之前版本,目前厂商已发布升级补丁以修复漏洞。

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1792

漏洞补丁 ZOOM

7月30日,安全研究人员公布了Zoom的一个关键安全漏洞。Zoom的网络客户端允许任何人检查会议的密码是否正确,没有任何尝试次数的限制。Zoom 会议默认由 6 位数字密码保护,所以可能出现100万个不同的密码。攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码,并在几分钟内找到正确的密码。

漏洞补丁 VMware

美国威睿(VMware)公司两款产品Tanzu Application Service for VMs和Tanzu Operations Manager中存在安全漏洞。攻击者可利用该漏洞获取管理权限,创建、删除和修改App Autoscaler服务实例。以下产品及版本受到影响:VMware Tanzu Application Service for VMs 2.7.19之前的2.7.x版本,2.8.13之前的2.8.x版本,2.9.7之前的2.9.x版本;VMware Tanzu Operations Manager 2.7.15之前的2.7版本,2.8.6之前的2.8版本,2.9.1之前的2.9版本。

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1791

黑客攻击 芬兰黑客 欧亚地区

近日安恒信息威胁情报中心捕获了一个恶意LNK文件,通过关联分析,锁定了一个具有芬兰背景的黑客组织,该组织主要攻击带有域控机制的机构(如大型公司)。根据已知信息,已有俄罗斯、乌克兰等地多家企业被攻陷。该黑客组织自研的特马通过主机信息判断和字符的拼接、解密等操作,具有较强的免杀特性。

数据泄露 雅芳

全球化妆品巨头雅芳(Avon)最近因云服务器配置错误泄漏了1900万条记录,暴露的数据库包含有关客户和员工的个人身份信息(PII),包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标。此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息。