国家互联网信息办公室公布《个人信息出境标准合同办法》【信息安全三分钟】2023.02.25
信息安全三分钟
盘点24小时内最新信息安全事件,旨在帮助安全工作者能够快速、高效抵御安全威胁。
1
国家互联网信息办公室公布《个人信息出境标准合同办法》
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。
2
水果巨头都乐食品公司遭到勒索软件攻击影响运营
新鲜水果蔬菜生产商和分销商都乐食品公司(Dole Food Company)宣布,该公司正在应对影响其运营的勒索软件攻击。目前还没有多少细节,该公司目前正在调查“事件的范围”,并指出影响有限。尽管都乐将影响描述为“有限”,但德克萨斯州一家杂货店在Facebook上泄露的一份便笺显示,这家食品巨头被迫关闭了其在北美的生产工厂。都乐似乎也停止了向杂货店发货。该便笺还提到,都乐将实施其危机管理协议,其中包括“手动备份程序”。这意味着该公司可能会恢复人工操作,从而恢复生产和发货,尽管速度较慢。
3
思科发布安全更新修补ACI组件中的高严重性漏洞
思科周三发布更新,修复了影响其Application Centric Infrastructure (ACI) 软件定义网络解决方案组件中的两个高严重性漏洞。其中一个漏洞(CVE-2023-20011)会影响思科Application Policy Infrastructure Controller(APIC)和云网络控制器的管理界面。该漏洞可被远程未经身份验证的攻击者利用,通过欺骗用户点击恶意链接来进行跨站请求伪造(CSRF)攻击。第二个高严重性漏洞跟踪为CVE-2023-20089,影响ACI模式下的思科Nexus 9000系列光纤交换机,它可以被未经身份验证的相邻攻击者用于拒绝服务(DoS)攻击。这两个安全漏洞都是在内部发现的,没有恶意利用的证据。
4
黑客利用虚假ChatGPT应用程序来分发恶意软件
安全研究员Dominic Alvieri发现,威胁行为者正在利用OpenAI的ChatGPT聊天机器人的热度来分发适用于Windows和Android的恶意软件,或将毫无戒心的受害者引导至网络钓鱼页面。钓鱼网站由Facebook页面推广,该页面使用官方ChatGPT徽标来诱骗用户重定向到恶意站点,用Redline信息窃取恶意软件感染访问者。研究人员还发现了在谷歌Play和第三方Android应用商店中推广的假冒ChatGPT应用,以分发窃取剪贴板内容的恶意软件和Aurora窃取程序。ChatGPT是一种仅在“chat.openai.com”上可用的在线工具,目前不提供适用于任何操作系统的移动或桌面应用程序。
5
谷歌发布更新修复了Chrome浏览器中的RCE漏洞
谷歌周三修补了其Chrome网络浏览器中一个严重的远程代码执行漏洞,该漏洞允许攻击者通过欺骗受害者访问恶意网站,就能在受害者的系统上安装恶意软件。作为其Chrome浏览器2月份安全更新的一部分,谷歌还修补了6个高严重性漏洞,其中一个已存在将近一年。该公司修补了一个由赏金猎人报告的谷歌Chrome SwiftShader中的use-after-free漏洞(CVE-2023-0928),该漏洞已存在了11个月之久。其他四个高严重性漏洞包括一个影响Chrome视频加速组件Vulkan的漏洞(CVE-2023-0929),两个视频缓冲区溢出漏洞(CVE-2023-0930和CVE-2023-0931)和一个WebRTC(CVE-2023-0932)漏洞。
点击下方公众号即可快速关注
微信扫码关注该文公众号作者