要闻速览

1、国家网信办发布《国家网络安全事件报告管理办法》

2、工信部就《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准公开征求意见

3、Chrome紧急更新：V8引擎零日漏洞已被野外利用

4、苹果CarPlay可被远程操控，干扰汽车司机并实施监控

5、汉堡王以DMCA法规名义封杀安全漏洞报告惹争议

6、美国航空公司向美国政府出售50亿条旅客信息

一周政策要闻

国家网信办发布《国家网络安全事件报告管理办法》

近日，国家互联网信息办公室发布《国家网络安全事件报告管理办法》（以下简称《办法》），自2025年11月1日起施行。

《办法》共十四条，主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求。

国家互联网信息办公室有关负责人指出，为规范网络安全事件报告管理，及时控制网络安全事件造成的损失和危害，落实《网络安全法》《关键信息基础设施安全保护条例》等法律法规，国家互联网信息办公室制定《国家网络安全事件报告管理办法》，进一步规范和明确网络安全事件报告流程和要求。

目前，网信部门已开通12387网络安全事件报告热线、官网、微信公众号、微信小程序、邮件、传真等六类网络安全事件报告渠道，网络运营者、社会组织和个人可通过上述渠道向网信部门报告网络安全事件。

工信部就《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准公开征求意见

9月17日，工业和信息化部正式就《智能网联汽车 组合驾驶辅助系统安全要求》强制性国家标准公开征求意见。征求意见截止日期为2025年11月15日。该标准与UN R171《关于批准车辆驾驶员控制辅助系统(DCAS)统一规定》等国际标准规协调接轨，并紧密结合中国复杂道路交通场景，充分考虑了本土实际道路交通环境以及系统的实际安全需要。

与UN R171标准相比，我国的标准特别新增车端数据记录相关要求，明确数据记录内容、数据元素、数据存储方式及读取规范等，为交通事故的调查分析提供准确的数据支撑，更符合国内交通管理的实际需要。

消息来源：中华人民共和国工业和信息化部 https://www.miit.gov.cn/gzcy/yjzj/art/2025/art_15461ef94bf1455397bd2e4a8bc71a62.html

业内新闻速览

Chrome紧急更新：V8引擎零日漏洞已被野外利用

FREEBUF 9月18日消息，Google已针对Windows和Mac系统发布140.0.7339.185/.186版本，Linux系统发布140.0.7339.185版本的稳定通道更新，修复了四个高危安全漏洞。其中最值得关注的是CVE-2025-10585——Chrome V8 JavaScript引擎中的一个漏洞，目前已在野外被实际利用。

最紧急的修复针对V8（Chrome核心JavaScript和WebAssembly引擎）中的类型混淆错误。该漏洞由Google威胁分析小组(TAG)报告，攻击者只需诱使用户访问恶意网页，就能通过操纵内存实现任意代码执行。Google确认："已知CVE-2025-10585漏洞的野外利用程序存在"，强调了立即打补丁的必要性。

第二个漏洞CVE-2025-10500存在于Dawn（WebGPU底层的图形抽象层）中。该漏洞由Giunash（Gyujeong Jin）报告，属于释放后使用(use-after-free)问题，可能导致浏览器崩溃或被利用执行任意代码。Google为此漏洞发现支付了5,000美元赏金。

第三个漏洞CVE-2025-10501影响WebRTC（浏览器实时音视频和数据共享技术）。同样属于释放后使用漏洞，考虑到WebRTC在在线通信中的作用，攻击者可能借此破坏实时会话或使通信服务崩溃。Google为此报告支付了10,000美元奖励。

最后一个漏洞CVE-2025-10502涉及ANGLE（用于提升OpenGL和Direct3D等图形API兼容性的图形引擎转换层）中的堆缓冲区溢出问题。该漏洞可能导致内存损坏和潜在的远程代码执行。虽然细节受限，但堆缓冲区溢出在渲染环境中通常被认为具有高度可利用性。

苹果CarPlay可被远程操控，干扰汽车司机并实施监控

近日，安全公司Oligo Security披露了一种针对苹果CarPlay系统的严重远程攻击技术。该攻击利用CarPlay建立无线连接所依赖的iAP2协议存在的单向认证漏洞：车辆会验证手机的合法性，但手机不会验证车辆。攻击者可借此伪装成iPhone，通过蓝牙欺骗车载系统，获取WiFi凭据并接入车内网络。

一旦接入，黑客便可利用此前发现的AirPlay SDK漏洞CVE-2025-24132——一个可实现蠕虫化传播的零点击远程代码执行漏洞——在CarPlay系统中获得root权限。这使得攻击者能够完全控制屏幕，播放音频或弹出画面以干扰驾驶员，甚至可窃听车内对话、追踪车辆位置，带来严重的安全与隐私风险。

尽管苹果此前已修复了该漏洞，但由于汽车制造商需自行集成和测试更新，涉及多方协调，修复进程极为缓慢，目前尚无已知车企部署该补丁。

消息来源：安全内参 https://www.secrss.com/articles/83006

汉堡王以DMCA法规名义封杀安全漏洞报告惹争议

2025年9月，安全漏洞研究者BobDaHacker通过博客曝光汉堡王新推出的得来速助手系统中存在严重安全漏洞。该系统基于AWS Cognito构建，未启用用户注册控制，任何人都能注册账户并通过邮件获取明文密码。利用该漏洞，研究者可访问所有门店数据，修改员工资料与设备订单，还能利用隐藏GraphQL突变提升至管理员权限，掌控店铺列表、通知及系统设置。
尽管BobDaHacker在发现漏洞一小时内就通过披露流程向汉堡王母公司报告了相关情况，但Cyble公司却以商标滥用等为由发出DMCA通知，下线了相关博客内容。此举引发关于企业滥用版权法压制正当网络安全披露的广泛争议。不过，相关存档副本仍可获取，众多网络安全人士在社交媒体广泛转发，形成“斯特里伯格效应”，反而放大了该漏洞影响。

美国航空公司向美国政府出售50亿条旅客信息

近日，美国多家主流媒体披露，由达美、美航、联合航空等航空公司共同控股的行业数据机构——航空报告公司（ARC），正在向FBI、国土安全部（DHS）、移民与海关执法局（ICE）等联邦执法机构出售对一个包含高达50亿条机票记录数据库的访问权限。该数据库名为“旅行情报计划”（TIP），整合了来自270家航司和12800家旅行社的票务数据，支持按姓名、信用卡、航班信息等多维度搜索，使政府机构无需搜查令即可监控民众出行轨迹，绕开宪法第四修正案对隐私权的保护。
ARC名义上是为航司提供结算服务的中介机构，实则扮演“数据经纪人”角色，将旅客出行数据打包出售给政府。其与海关与边境保护局（CBP）的合同中包含保密条款，禁止政府披露数据来源，试图掩盖航司在其中的利益关联。更令人担忧的是，这一大规模监控服务的采购价格极低——CBP最初仅支付1.1万美元即获得访问权，且合同可延续至2029年，凸显数据交易的隐蔽性与低成本。此举引发隐私权组织和政界强烈批评。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！