weixin_55163056的博客

这些规则旨在实施2023年《数字个人数据保护法》，同时赋予公民对其数据更大的控制权，为他们提供在充分知情的情况下同意处理其信息的选项，以及要求数字平台删除数据和解决投诉的权利。印度新闻信息局（PIB）周日发表声明称：“数据受托人必须提供清晰易懂的个人信息处理信息，以便获得知情同意。在印度运营的公司还需实施加密、访问控制和数据备份等安全措施，以保障个人数据，并确保其保密性、完整性和可用性。“公民有权要求删除数据、指定数字代表，并通过用户友好的机制管理自己的数据。

12月27日，Cyberhaven披露称，一名威胁行为者入侵了其浏览器扩展，并注入了恶意代码，以与外部位于cyberhavenext[.]pro域名的命令与控制（C&C）服务器通信，下载额外的配置文件，并窃取用户数据。这封钓鱼邮件伪装成来自Google Chrome网上应用店开发者支持的邮件，通过声称其扩展因违反开发者计划政策而面临被立即从扩展商店下架的风险，来制造一种虚假的紧迫感。

美国司法部（DoJ）发布了实施第14117号行政命令（EO）的最终规则，该规则禁止将公民个人数据批量传输给令人关切的国家，如中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。司法部国家安全事务助理部长马修·G·奥尔森表示：“这一最终规则是解决我们的对手利用美国人最敏感的个人数据所构成的重大国家安全威胁的重要一步。

其中两个漏洞存在于Power Platform的OData Web API过滤器中，而第三个漏洞则源于FetchXML API。第一个漏洞的根本原因是OData Web API过滤器缺乏访问控制，从而允许访问存储敏感信息（如全名、电话号码、地址、财务数据和密码哈希）的联系人表。有关Dynamics 365和Power Apps Web API中三个现已修复的安全漏洞的详细信息已浮出水面，这些漏洞可能导致数据泄露。

该和解协议适用于美国境内当前或曾经的Siri功能设备所有者或购买者，他们在2014年9月17日至2024年12月31日期间，与Siri助手的机密语音通信“被苹果获取和/或由于Siri意外激活而被共享给第三方”。根据和解协议，这些用户将获得每台设备20美元的赔偿。苹果同意支付9500万美元以解决一项拟议的集体诉讼，该诉讼指控这家iPhone制造商利用其语音激活的Siri助手侵犯用户隐私。路透社首先报道了这一进展。

Claroty公司的研究人员Noam Moshe和Tomer Goldschmidt在最近的一份分析中表示：“这些漏洞不仅影响Reyee平台，还影响Reyee OS网络设备。这家对物联网（IoT）供应商进行深入研究的运营技术（OT）安全公司表示，他们不仅发现了10个漏洞，还设计了一种名为“芝麻开门”的攻击方式，该方式可以通过云端黑客入侵近距离的接入点，并未经授权地访问其网络。网络安全研究人员在锐捷网络开发的云管理平台中发现了多个安全漏洞，这些漏洞可能允许攻击者控制网络设备。

项目维护者在一份公告中表示：“Apache Traffic Control = 8.0.0版本中的Traffic Ops存在SQL注入漏洞，具有 ‘admin’、‘federation’、‘operations’、'portal’或’steering’角色的特权用户可以通过发送特制的PUT请求，在数据库中执行任意SQL命令。2018年6月，它被ASF宣布为顶级项目（TLP）。这个SQL注入漏洞，编号为CVE-2024-45387，在CVSS评分系统中被评为9.9分（满分10.0分）。

一个东南亚黑客组织窃取了乌干达央行超1.2亿元资金，据悉其已将资金转移至他国，目前乌干达已追回超过一半的被盗资金，官方称需等待审计工作完成后才能公布细节信息。

哥斯达黎加国家石油公司因勒索攻击致使支付系统瘫痪，售油等服务被迫转为手动，官方紧急延长售油运营时间，并邀请美专家协助恢复系统。

美国网络安全巨头派拓网络（Palo Alto Networks）近日在加州圣克拉拉总部举办了“点燃巡回”（Ignite on Tour）系列活动，公司创始人兼首席技术官Nir Zuk发表了对2025年网络安全行业发展趋势的预测洞见。

开源网安参编的两项标准《网络安全技术 软件供应链安全要求》和《网络安全技术 软件产品开源代码安全评价方法》将于11月1日正式实施

微软周二发布了修复程序，以解决总共90个安全漏洞，包括10个零日漏洞，其中6个已在野外受到积极利用。在90个漏洞中，7个被评为严重，79个被评为重要，1个被评为中等严重程度。这也是科技巨头自上个月以来在其边缘浏览器中解决的36个漏洞的补充。

CVE-2024-38856是一个错误授权漏洞，是因身份验证机制中存在缺陷而产生的漏洞。Apache OFBiz在处理view视图渲染时存在逻辑缺陷，该漏洞允许未经身份验证的远程攻击者通过构造特殊URL来覆盖最终的渲染视图，从而执行任意代码，导致数据泄露、服务中断或恶意代码执行等。安全研究人员在分析CVE-2024-36104的修补过程中发现了CVE-2024-38856这一新的漏洞。

警告！18年前的浏览器漏洞卷土重来，MacOS和Linux设备面临威胁！CISA紧急通告：黑客正利用思科旧版Smart Install功能窃取敏感数据！Windows系统惊爆降级攻击风险，已修补漏洞竟再次暴露！远程桌面授权服务惊现远程代码执行漏洞，黑客可轻松攻入系统！Apache OFBiz ERP爆出高危零日漏洞，远程代码执行威胁迫在眉睫！

此恶意软件正在监视全球 600 多个品牌的一次性密码消息，其中一些品牌的用户数以亿计。被称为“Stargazer Goblin”的黑客组织已建立了一个由虚假的GitHub账户组成的网络，以推动一项“分发即服务”(DaaS)，该服务在过去一年中传播了各种窃取信息的恶意软件，并为他们带来了10万美元的非法利润。据Check Point公司称，该网络包括3000多个基于云的代码托管平台上的账户，跨越数千个用于共享恶意链接或恶意软件的存储库，该公司将其称为“Stargazers Ghost Network.”。

在Nacos中新发现的0day漏洞可以触发远程代码执行，开源网安RASP团队检测并分析出三种类型的攻击：不安全的反射漏洞、SQL注入攻击、命令注入

年入百万？？软件安全岗位的薪资待遇往往比网络安全岗位要丰厚那么一些，这到底是为啥呢？今天，就让我们来扒一扒其中的缘由。

开源网安与桂林电子科技大学计算机与信息安全学院信息安全专业实训课圆满完成。双方已连续四年共同开展网络安全与软件安全实训课程，建立人才体系，强化产教融合育人理念，提升学生适应企业岗位的工作能力与网络安全人才培养质量。

据开源网安SFuzz团队检测，某品牌智能低功耗蓝牙手环存在0day漏洞。

高危漏洞预警

微软发现罗克韦尔自动化 PanelView Plus 存在可被远程利用的安全漏洞，可能导致远程代码执行和拒绝服务状况。未知威胁行为者利用 Microsoft MSHTML 已修补的漏洞传播 MerkSpy 间谍软件，主要针对加、印、波、美用户，攻击始于 Word 文档。网络攻击活动使用 Donut 和 Sliver 框架瞄准以色列实体，利用特定设施和定制网站传递恶意软件。新的英特尔 CPU 漏洞“Indirector”使包括 Raptor Lake 和 Alder Lake 在内的产品易受侧信道攻击，

GB/T 43698-2024《网络安全技术 软件供应链安全要求》作为国内首个软件供应链安全的国标，对于程序员的影响深远。该标准的实施，不仅为程序员提供了明确的软件安全开发指导，还强化了他们在软件开发过程中对安全性的重视。程序员需要遵循这一标准，加强软件的安全设计和编码实践，确保软件产品的安全性和可靠性，从而为用户提供更加安全、稳定的软件服务

警惕！“Dirty Stream”攻击瞄准小米文件管理器与WPS Office，你的数据还安全吗？

开源网安将始终坚守科技创新的初心，不断探索新技术、新方法，以锐意进取的姿态提升自身技术实力和市场竞争力。我们相信，在党和政府的指引下，“科技强国”的伟大目标终将实现，中国科技定能够迎来更加辉煌的明天

Red Hat 发布了一份“紧急安全警报”，警告称两款流行的数据压缩库XZ Utils（先前称为LZMA Utils）的两个版本已被植入恶意代码后门，这些代码旨在允许未授权的远程访问。此次软件供应链攻击被追踪为``CVE-2024-3094``，其CVSS评分为``10.0``，表明其严重性极高。它影响了XZ Utils的5.6.0版本（2月24日发布）和5.6.1版本（3月9日发布）

我不知道什么时候开通的‘免密支付’功能，直到手机频繁收到账单提醒，才发现平台账号被盗，对方通过‘免密支付’消费了5000多元。这种事关会员安全的操作提示应该设置在明显位置，不能让消费者糊里糊涂‘被免密’。”近日，山东青岛市民李先生向记者讲述了自己账号“失窃”的经历。李先生介绍，自己曾邀请21岁的信用卡业务员杨某上门办理信用卡和POS机业务，许多流程需要在本人手机上完成，李先生将手机交给杨某操作，自己则在店里忙其他工作。在办理过程中，杨某帮李先生在网购平台开通了“免密支付”功能。