要聞速覽

1、《數(shù)據(jù)安全技術(shù) 政務(wù)數(shù)據(jù)處理安全要求》等6項(xiàng)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)發(fā)布

2、國家數(shù)據(jù)局組織開展2025年可信數(shù)據(jù)空間創(chuàng)新發(fā)展試點(diǎn)工作

3、CNVD：關(guān)于Foxmail郵件客戶端存在跨站腳本攻擊漏洞的安全公告

4、微軟Exchange管理中心遭遇全球性服務(wù)中斷

5、5分鐘造出假護(hù)照！ChatGPT-4o暴露KYC系統(tǒng)致命漏洞

6、澳大利亞養(yǎng)老金系統(tǒng)遭遇憑證填充攻擊，2萬賬戶被劫持

一周政策要聞

《數(shù)據(jù)安全技術(shù) 政務(wù)數(shù)據(jù)處理安全要求》等6項(xiàng)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)發(fā)布

根據(jù)2025年3月28日國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告（2025年第6號），全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的6項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布。具體清單如下：

信息來源：全國網(wǎng)安標(biāo)委 https://mp.weixin.qq.com/s/fFadqWN-sSwND8CX_5RRFA

國家數(shù)據(jù)局組織開展2025年可信數(shù)據(jù)空間創(chuàng)新發(fā)展試點(diǎn)工作

根據(jù)通知，為落實(shí)《可信數(shù)據(jù)空間發(fā)展行動(dòng)計(jì)劃（2024—2028年）》（國數(shù)資源〔2024〕119號）工作部署，引導(dǎo)和支持可信數(shù)據(jù)空間發(fā)展，促進(jìn)數(shù)據(jù)要素合規(guī)高效流通，深化數(shù)據(jù)資源開發(fā)利用，國家數(shù)據(jù)局綜合司現(xiàn)組織開展2025年可信數(shù)據(jù)空間創(chuàng)新發(fā)展試點(diǎn)工作。

試點(diǎn)工作重點(diǎn)面向應(yīng)用需求旺盛、發(fā)展基礎(chǔ)良好、經(jīng)濟(jì)社會價(jià)值高、示范帶動(dòng)力強(qiáng)的領(lǐng)域，組織開展企業(yè)、行業(yè)、城市三類可信數(shù)據(jù)空間試點(diǎn)工作，通過兩年試點(diǎn)培育，形成一批資源豐富、應(yīng)用創(chuàng)新、生態(tài)繁榮、成效顯著的可信數(shù)據(jù)空間，在數(shù)據(jù)資源開發(fā)利用、數(shù)據(jù)安全可信流通、數(shù)據(jù)要素價(jià)值共創(chuàng)、數(shù)據(jù)制度機(jī)制創(chuàng)新等方面，形成可復(fù)制推廣的經(jīng)驗(yàn)?zāi)Ｊ剑剿鲾?shù)據(jù)資源規(guī)?；魍ɡ眯履Ｊ叫侣窂?，積累國家數(shù)據(jù)基礎(chǔ)設(shè)施運(yùn)營經(jīng)驗(yàn)，支撐全國一體化數(shù)據(jù)市場建設(shè)。

消息來源：國家數(shù)據(jù)局 https://mp.weixin.qq.com/s/3gYu3E7PAGoLpNm8FN_Efg

業(yè)內(nèi)新聞速覽

CNVD：關(guān)于Foxmail郵件客戶端存在跨站腳本攻擊漏洞的安全公告

4月10日，國家信息安全漏洞共享平臺（CNVD）發(fā)布《關(guān)于Foxmail郵件客戶端存在跨站腳本攻擊漏洞的安全公告》，指出Foxmail郵件客戶端跨站腳本攻擊漏洞（CNVD-2025-06036）已發(fā)現(xiàn)被利用進(jìn)行攻擊。

Foxmail是我國知名電子郵件客戶端之一，目前由騰訊公司運(yùn)行維護(hù)。 由于Foxmail在處理加載郵件正文時(shí)，對危險(xiǎn)內(nèi)容的過濾處理邏輯存在缺陷，攻擊者構(gòu)造包含惡意指令代碼的電子郵件向目標(biāo)用戶發(fā)送，目標(biāo)用戶僅需使用Foxmail打開惡意郵件，無需其他點(diǎn)擊操作，惡意指令代碼即可被用戶主機(jī)加載執(zhí)行，具有較高的攻擊隱蔽性。攻擊者繼而利用其他漏洞，在未授權(quán)的前提下實(shí)現(xiàn)對目標(biāo)主機(jī)的木馬文件本地寫入和控制權(quán)限獲取。

CNVD對該漏洞的綜合評級為“中危”。漏洞影響的產(chǎn)品和版本：Foxmail < 7.2.25。3月28日，官方已緊急發(fā)布新版本修復(fù)該漏洞。CNVD建議受影響的單位和用戶立即將Foxmail升級至最新版本：https://www.foxmail.com/，并提醒用戶做好安全防范措施，不要打開來歷不明的郵件。

消息來源：CNVD漏洞平臺 https://mp.weixin.qq.com/s/2spz-3jU7Sk15G44EuA9qg

微軟Exchange管理中心遭遇全球性服務(wù)中斷

FREEBUF 4月10日消息，微軟已確認(rèn)Exchange管理中心（Exchange Admin Center，EAC）發(fā)生全球性服務(wù)中斷，導(dǎo)致管理員無法訪問關(guān)鍵管理工具。該故障被標(biāo)記為關(guān)鍵服務(wù)事件（編號EX1051697），對依賴Exchange Online的企業(yè)造成廣泛影響。

管理員嘗試登錄EAC時(shí)遭遇"HTTP 500錯(cuò)誤"，表明服務(wù)器內(nèi)部故障。該錯(cuò)誤導(dǎo)致無法執(zhí)行包括郵箱和群組管理在內(nèi)的核心管理功能。微軟承認(rèn)該問題影響范圍可能波及全球，目前正在積極調(diào)查。部分管理員報(bào)告稱，通過備用URL：https://admin.cloud.microsoft/exchange#/，可成功訪問EAC。微軟正在驗(yàn)證此臨時(shí)解決方案的有效性，并將很快發(fā)布確認(rèn)通知，建議管理員在等待更新期間嘗試此方法。微軟工程師已發(fā)現(xiàn)錯(cuò)誤率激增現(xiàn)象，正在審查近期服務(wù)變更作為潛在故障原因。

EAC是管理Exchange Online環(huán)境的重要工具，尤其對配置復(fù)雜的企業(yè)至關(guān)重要。雖然PowerShell可執(zhí)行部分管理任務(wù)，但多數(shù)用戶更青睞基于網(wǎng)頁的圖形界面。微軟承諾將優(yōu)先解決此次中斷事件，建議管理員通過Microsoft 365管理中心獲取實(shí)時(shí)更新。受影響的用戶可嘗試使用建議的備用URL或其他管理方式，直至服務(wù)恢復(fù)正常。

消息來源：FREEBUF https://mp.weixin.qq.com/s/Pk8FM4L8Ar9IKZbCSbA89g

5分鐘造出假護(hù)照！ChatGPT-4o暴露KYC系統(tǒng)致命漏洞

近日，波蘭研究員Borys Musielak展示了使用ChatGPT-4o在短短五分鐘內(nèi)創(chuàng)建假護(hù)照的驚人能力，成功繞過了Revolut和Binance等金融科技平臺使用的基本KYC（了解你的客戶）檢查，這些平臺主要依靠照片ID上傳和用戶自拍進(jìn)行身份驗(yàn)證。Musielak在社交媒體X平臺上強(qiáng)調(diào)，這意味著任何依賴圖像作為"證明"的驗(yàn)證流程現(xiàn)在已經(jīng)過時(shí)，包括靜態(tài)或視頻自拍——生成式AI都能輕松偽造。

與傳統(tǒng)偽造不同，Musielak避開了常見的AI缺陷，證明了現(xiàn)在制作令人信服的假證件比使用Photoshop等工具更快捷高效。安全專家警告，這種技術(shù)進(jìn)步可能導(dǎo)致大規(guī)模身份盜竊、欺詐信用申請和假賬戶創(chuàng)建變得更加容易實(shí)施。他們呼吁加強(qiáng)防御措施，包括更廣泛地使用基于NFC的驗(yàn)證和電子身份證件(eIDs)，這些提供更強(qiáng)大的硬件級別認(rèn)證。

值得注意的是，在Musielak演示后數(shù)小時(shí)內(nèi)，ChatGPT開始拒絕類似請求，引用其安全政策禁止生成假文件。

消息來源：安全牛 https://mp.weixin.qq.com/s/vFoYXrDxtMYjUAQHlkgQEA

澳大利亞養(yǎng)老金系統(tǒng)遭遇憑證填充攻擊，2萬賬戶被劫持

安全內(nèi)參4月9日消息，澳大利亞多家養(yǎng)老金基金提供商近日遭遇大規(guī)模網(wǎng)絡(luò)攻擊，據(jù)報(bào)道約有2萬個(gè)客戶賬戶被黑客劫持，攻擊手法疑似為憑證填充攻擊。

澳大利亞養(yǎng)老金基金協(xié)會(ASFA)于上周五發(fā)表聲明，確認(rèn)黑客在前一周末針對"多家基金"發(fā)起攻擊。聲明稱："雖然大多數(shù)攻擊嘗試被成功阻止，但不幸的是仍有部分會員受到影響。相關(guān)基金正在聯(lián)系所有受影響會員并為數(shù)據(jù)遭到泄露的用戶提供幫助。"據(jù)當(dāng)?shù)匦侣剤?bào)道，此次事件可能導(dǎo)致數(shù)萬個(gè)賬戶被入侵，損失金額高達(dá)50萬美元。

其中，管理著約3650億澳元(約2190億美元)資產(chǎn)、擁有約350萬會員的澳大利亞最大的養(yǎng)老金基金AustralianSuper確認(rèn)有600名會員受到網(wǎng)絡(luò)攻擊影響。管理約930億澳元(約560億美元)的Rest Super表示約有8000名會員的"有限個(gè)人信息被訪問"，包括名字、電子郵件地址和會員識別號碼，但聲稱這些受害者的資金未受影響。

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請?jiān)髡呗?lián)系我們，我們會盡快刪除處理，謝謝！