国家互联网信息办公室公布《个人信息出境标准合同办法》【信息安全三分钟】2023.02.25

信息安全三分钟

盘点24小时内最新信息安全事件，旨在帮助安全工作者能够快速、高效抵御安全威胁。

2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），自2023年6月1日起施行。国家互联网信息办公室有关负责人表示，出台《办法》旨在落实《个人信息保护法》的规定，保护个人信息权益，规范个人信息出境活动。

新鲜水果蔬菜生产商和分销商都乐食品公司（Dole Food Company）宣布，该公司正在应对影响其运营的勒索软件攻击。目前还没有多少细节，该公司目前正在调查“事件的范围”，并指出影响有限。尽管都乐将影响描述为“有限”，但德克萨斯州一家杂货店在Facebook上泄露的一份便笺显示，这家食品巨头被迫关闭了其在北美的生产工厂。都乐似乎也停止了向杂货店发货。该便笺还提到，都乐将实施其危机管理协议，其中包括“手动备份程序”。这意味着该公司可能会恢复人工操作，从而恢复生产和发货，尽管速度较慢。

思科周三发布更新，修复了影响其Application Centric Infrastructure (ACI) 软件定义网络解决方案组件中的两个高严重性漏洞。其中一个漏洞（CVE-2023-20011）会影响思科Application Policy Infrastructure Controller（APIC）和云网络控制器的管理界面。该漏洞可被远程未经身份验证的攻击者利用，通过欺骗用户点击恶意链接来进行跨站请求伪造（CSRF）攻击。第二个高严重性漏洞跟踪为CVE-2023-20089，影响ACI模式下的思科Nexus 9000系列光纤交换机，它可以被未经身份验证的相邻攻击者用于拒绝服务（DoS）攻击。这两个安全漏洞都是在内部发现的，没有恶意利用的证据。

安全研究员Dominic Alvieri发现，威胁行为者正在利用OpenAI的ChatGPT聊天机器人的热度来分发适用于Windows和Android的恶意软件，或将毫无戒心的受害者引导至网络钓鱼页面。钓鱼网站由Facebook页面推广，该页面使用官方ChatGPT徽标来诱骗用户重定向到恶意站点，用Redline信息窃取恶意软件感染访问者。研究人员还发现了在谷歌Play和第三方Android应用商店中推广的假冒ChatGPT应用，以分发窃取剪贴板内容的恶意软件和Aurora窃取程序。ChatGPT是一种仅在“chat.openai.com”上可用的在线工具，目前不提供适用于任何操作系统的移动或桌面应用程序。

谷歌周三修补了其Chrome网络浏览器中一个严重的远程代码执行漏洞，该漏洞允许攻击者通过欺骗受害者访问恶意网站，就能在受害者的系统上安装恶意软件。作为其Chrome浏览器2月份安全更新的一部分，谷歌还修补了6个高严重性漏洞，其中一个已存在将近一年。该公司修补了一个由赏金猎人报告的谷歌Chrome SwiftShader中的use-after-free漏洞（CVE-2023-0928），该漏洞已存在了11个月之久。其他四个高严重性漏洞包括一个影响Chrome视频加速组件Vulkan的漏洞（CVE-2023-0929），两个视频缓冲区溢出漏洞（CVE-2023-0930和CVE-2023-0931）和一个WebRTC（CVE-2023-0932）漏洞。

点击下方公众号即可快速关注