要闻速览
1、5项网络安全国家标准公开征集参编单位
2、新版《中华人民共和国反不正当竞争法》正式施行
3、工信部:关于防范Google Chrome远程代码执行高危
4、微软宣布停止对Windows10系统提供安全更新和技术支持
5、F5遭国家级黑客攻击,BIG-IP源代码和0day漏洞数据泄露
6、哈佛大学证实遭受Cl0p勒索攻击,1.3TB敏感数据或被窃取
一周政策要闻
5项网络安全国家标准公开征集参编单位
近日,全国网络安全标准化技术委员会在网站发布公告,为了切实做好网络安全国家标准编制工作,鼓励更多单位切实参加到标准编制过程中,提高标准编制工作的开放性、公正性、透明性,提升标准的实用性和质量,即日起按照《全国信息安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集《数据安全技术 网络数据自动化工具收集行为规范》等5项网络安全国家标准参编单位,具体标准名称如下:
1、《数据安全技术 网络数据自动化工具收集行为规范》标准;
2、《网络安全技术 信息安全风险评估实施指南》标准;
3、《网络安全技术 网络安全威胁信息评价指标和方法》标准;
4、《网络安全技术 网络安全事件管理 第4部分:协同》标准;
5、《数据安全技术 小型个人信息处理者个人信息保护指南》标准。
新版《中华人民共和国反不正当竞争法》正式施行
新修订的《中华人民共和国反不正当竞争法》于2025年10月15日起正式施行。这部法律历经三次修改,直面数字经济时代的新挑战与民生关切的问题,通过制度升级为公平竞争市场秩序装上“安全阀”,为经营者与消费者权益提供更坚实的法律保障。
针对平台经济发展中的不正当竞争新形态,新法第十三条专门强化了网络竞争规则。明确禁止经营者利用数据、算法、平台规则实施三类行为。
一是强制跳转、恶意卸载等破坏其他经营者服务正常运行的行为;
二是以不正当方式获取、使用他人合法持有的数据;
三是滥用平台规则实施虚假交易、虚假评价、恶意退货等打压竞争对手的行为。
这意味着“流量劫持”“数据窃密”“网络水军”等长期困扰电商行业有序发展的违法行为,将面临直接的法律制裁。
消息来源:网信南京 新版反不正当竞争法实施
业内新闻速览
工信部:关于防范Google Chrome远程代码执行高危漏洞的风险提示
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,Google Chrome存在沙箱逃逸高危漏洞,可被恶意利用导致信息泄露、代码执行等危害。
Google Chrome是谷歌公司开发的网页浏览器,用于快速浏览、搜索互联网内容。由于其沙箱机制在与Windows操作系统内核交互时存在逻辑错误,攻击者可利用该漏洞绕过沙箱隔离机制,窃取敏感信息,甚至远程执行恶意代码等。受影响版本为Google Chrome(Windows)< 134.0.6998.177。
目前,Google Chrome官方已发布安全公告(https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html),建议相关单位和用户立即开展隐患排查,及时升级至最新安全版本,避免点击不明链接等防范网络攻击风险。
微软宣布停止对Windows10系统提供安全更新和技术支持
近日,美国微软公司正式宣布自10月14日起停止对Windows 10系统提供安全更新和技术支持,这意味着大量用户的电脑可能更容易遭到网络攻击。
据悉,Windows 10于2015年发布,截至2025年7月,StatCounter的数据显示,Windows 10的市场应用份额仍高达45.02%份额。微软表示,虽然安装Windows 10系统的设备还可继续运行,但将不再接受定期的安全更新,同时部分应用程序的功能可能会减弱,建议用户尽快升级到Windows 11系统。
但实际上,一些旧电脑设备并不符合运行新系统的硬件要求。因此,这些用户要不选择更换设备,要不就要花30美元来注册微软的扩展安全更新程序,该程序可帮助降低恶意软件攻击和网络安全威胁的风险。
消息来源:IT之家 https://www.ithome.com/0/888/929.htm
F5遭国家级黑客攻击,BIG-IP源代码和0day漏洞数据泄露
10 月 15 日,知名应用交付与安全厂商F5 Networks向美国证券交易委员会(SEC)提交8-K报告,正式披露了一起重大网络安全事件。报告内容显示,一个被描述为“高度复杂的国家级”威胁组织成功入侵 F5 系统,并对其进行了长期、持续访问。
F5公司于8 月 9 日首次发现入侵,并立即启动了事件响应流程,聘请了包括 CrowdStrike 和 Mandiant 在内的顶级网络安全专家协助调查。美国司法部在 2025 年 9 月 12 日确定有必要延迟公开披露此事件,这通常也意味着涉及重大国家安全调查,需要时间进行秘密追踪和遏制。
调查显示,攻击者成功窃取了三类关键资产:
1. BIG-IP 产品开发环境中的部分源代码;
2. 关于 BIG-IP 产品未公开漏洞的研究信息;
3. 少量的客户配置或方案实施信息。
F5 指出,公司的软件发布体系和流程未被修改,同时也确认没有证据表明攻击者访问或窃取了客户关系管理系统、财务系统、支持案例管理系统以及F5 分布式云服务等关键系统。
哈佛大学证实遭受Cl0p勒索攻击,1.3TB敏感数据或被窃取
哈佛大学日前官方证实遭受Cl0p勒索组织攻击,但试图淡化此事件的影响,称安全漏洞似乎仅限于一个小型行政单位,目前无其他系统遭入侵的证据。
Cl0p勒索软件组织稍早前在其数据泄露网站上公布了哈佛大学成为了针对甲骨文E - Business Suite(EBS)漏洞利用攻击活动的目标,并宣称将公开从哈佛大学窃取的1.3TB数据。
谷歌威胁情报小组和Mandiant分析此次勒索活动发现,攻击者利用了7月已修复的EBS漏洞及可能的零日漏洞(CVE - 2025 - 61882),向公司高管发送勒索邮件。攻击者或通过入侵用户邮箱、利用EBS默认密码重置功能窃取有效凭证。 相关攻击披露后,甲骨文公司已针对CVE - 2025 - 61882发布了紧急补丁提醒。
消息来源:安全牛
卫星通信或存重大安全盲区,北美上空50%的静止轨道卫星链路数据可明文读取;未管控的AI风险让英国企业平均损失近2800万元|牛览
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!
