要闻速览

1、三部门联合印发《关于进一步加强医疗机构电子病历信息使用管理的通知》

2、2025年护航新型工业化网络安全专项行动启动

3、MCP工具链首个严重漏洞？一个钓鱼网页，远程劫持开发者电脑

4、谷歌紧急修复已被利用的Chrome高危零日漏洞

5、加拿大政府以国家安全为由封杀海康威视

6、澳洲航空曝史诗级数据泄露，600 万乘客信息遭黑手！

一周政策要闻

三部门联合印发《关于进一步加强医疗机构电子病历信息使用管理的通知》

6月30日，国家卫生健康委、国家中医药局、国家疾控局三部门联合印发《关于进一步加强医疗机构电子病历信息使用管理的通知》（以下简称《通知》），明确加强医疗机构内部管理、规范电子病历信息使用和强化卫生健康行政部门监管等要求，旨在通过压实医疗机构主体责任，强化监管措施，进一步保障患者医疗信息和医疗质量安全。

《通知》主要内容涉及三个方面：

（一）加强医疗机构内部管理。明确电子病历范围，压实医疗机构主体责任，保护患者隐私，建立分级访问权限和长效监管机制，并纳入绩效评价。

（二）规范电子病历信息使用。严格管控信息访问与使用行为，确保权限匹配，签订保密协议，采用技术手段实现全流程可追溯和数据安全防护。

（三）强化卫生健康行政部门监管。地方卫生健康部门加强指导与评估，将电子病历规范使用纳入医院评审、巡查及智慧医院建设等评估标准。

信息来源：中华人民共和国国家卫生健康委员会 https://www.nhc.gov.cn/yzygj/c100068/202506/c68abee7c54b4651a774cd533761780b.shtml

2025年护航新型工业化网络安全专项行动启动

为深入学习贯彻习近平总书记关于新型工业化的重要论述，全面贯彻落实中央经济工作会议精神和全国新型工业化推进大会部署，扎实推进2025年护航新型工业化网络安全专项行动，工业和信息化部印发《2025年护航新型工业化网络安全专项行动方案》。

《行动方案》聚焦突出重点管理、做优服务模式，以推动重点企业、重要系统、关键产品防护能力升级为核心，提出3方面、8项重点任务，推动提高工业领域网络安全保障水平，着力支撑制造业高质量发展，为实现“十五五”良好开局奠定坚实基础。

消息来源：中华人民共和国工业和信息化部

https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/zcjd/art/2025/art_daf97c6e11084a639ad6a1f1f54002fb.html

业内新闻速览

MCP工具链首个严重漏洞？一个钓鱼网页，远程劫持开发者电脑

安全内参7月3日消息，知名AI公司Anthropic的模型上下文协议（MCP）Inspector工具被发现存在高危漏洞，编号为CVE-2025-49596，CVSS评分9.4，影响所有0.14.1之前版本。

该漏洞由Oligo Security发现，允许攻击者通过诱导开发者访问恶意网站，在其设备上远程执行任意代码。其成因是Inspector客户端与代理服务器之间缺乏身份验证，默认配置无加密且开放网络访问，易受攻击。

攻击者可利用“0.0.0.0-day”浏览器漏洞，通过JavaScript向MCP Inspector的SSE端点发送请求，执行系统命令，导致数据泄露、后门植入和横向移动等严重后果。

Anthropic已于6月13日发布修复版本0.14.1，引入会话令牌验证机制并加强来源控制，建议用户立即升级。研究人员提醒，应避免将开发工具暴露在公网，并重视默认配置的安全性。

此次事件凸显AI开发基础设施面临的安全挑战，强调实施严格安全实践的重要性。

消息来源：安全内参 https://www.secrss.com/articles/80476

谷歌紧急修复已被利用的Chrome高危零日漏洞

近日，谷歌在发现一个已被野外利用的高危零日漏洞（CVE-2025-6554）后，紧急为其Chrome浏览器的稳定版通道发布了更新。该漏洞被归类为V8 JavaScript引擎中的类型混淆漏洞，对Windows、macOS和Linux平台的用户构成严重威胁。

漏洞详情：

CVE-2025-6554是Chrome核心渲染引擎V8 JavaScript引擎中的类型混淆漏洞。该漏洞由谷歌威胁分析小组（TAG）的Clément Lecigne于2025年6月25日发现，攻击者可通过诱使浏览器错误解析内存类型来执行任意代码——这种利用方法通常用于实现远程代码执行（RCE）。

风险等级：

零日漏洞——尤其是影响Chrome等浏览器的漏洞——是国家行为体、高级持续性威胁（APT）组织和以经济利益为目的的网络犯罪分子的主要目标。V8引擎中的类型混淆漏洞此前曾被用于"路过式下载"攻击、沙箱逃逸以及通过看似无害的网站投递恶意负载。

更新信息：

本次发布的补丁版本号为：Windows 版138.0.7204.96/.97、Mac 版138.0.7204.92/.93、Linux 版 138.0.7204.96，将在未来数日乃至数周内逐步推送。

谷歌在公告中警告：已确认CVE-2025-6554漏洞的野外利用实例存在。鉴于该漏洞的敏感性及其潜在影响，在大多数用户获得保护前，完整技术细节仍将受限。

消息来源：FREEBUF 谷歌紧急修复已被利用的Chrome高危零日漏洞

加拿大政府以国家安全为由封杀海康威视

加拿大政府近日宣布，已根据《加拿大投资法》对海康威视加拿大公司（Hikvision Canada Inc.）完成国家安全审查，并要求其立即停止在加拿大的所有业务运营，并关闭其在加业务。
这一决定由加拿大创新、科学及工业部长梅拉妮·乔利（Mélanie Joly）在上周末在X平台上正式对外公布（下图）。声明中指出：“加拿大政府已确定，海康威视加拿大公司在加继续运营将危害国家安全，因此已下令其全面停止业务。”
同时，禁止联邦政府机构和国有企业采购或使用其设备，并建议民众在购买安防产品时自行评估风险。
海康威视，作为全球领先的视频监控设备制造商，在加拿大市场提供包括IP摄像头、人脸识别等多种安防解决方案。面对加拿大禁令，海康威视坚称指控无事实依据且缺乏程序公正，是出于政治偏见对中国企业的歧视。

澳洲航空曝史诗级数据泄露，600 万乘客信息遭黑手！

澳航在一份声明中说，该公司6月30日发现其第三方客户服务平台出现“异常活动”，显示黑客入侵了一个客户联络中心系统，可获取约600万客户的姓名、电子邮件地址、手机号码、生日等隐私信息。“我们仍在调查具体有多少数据被盗，但预计泄露规模较大。”
澳航强调，被“黑”系统未存储客户的信用卡、个人财务和护照号码等信息，因此这类数据未受影响。目前，澳航正在联系受影响客户，通报事件详情，并说明公司可提供的具体支持方案。
发动此次袭击的黑客身份尚不明确，但当地媒体普遍怀疑为黑客组织“分散蜘蛛”（Scattered Spider）。值得注意的是，早在6月28日，美国联邦调查局（FBI）就针对“分散蜘蛛”发布了警报，指出该组织正在将网络攻击目标扩大至航空领域。
但澳大利亚联邦网络安全部长托尼·伯克没有就是否为“分散蜘蛛”发动攻击置评，仅表示网络安全机构将做出最终判断。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！