22日消息，国际电信联盟（ITU）于2023年正式发布云计算风险管理框架标准：ITU-T Y.3539 Cloud computing – Framework of risk management。该项国际标准由中国通信院牵头制定，旨在针对云计算运行过程中面临出现的服务不可用、数据丢失、数据泄露等风险后果提出管理方法。标准规范了云计算风险管理流程，用于指导企业梳理风险管理薄弱点，包括风险评估、风险处置以及云计算风险沟通和监测。

23日消息，Jamf威胁实验室近日发布博文，分享存在于iPhone上的ColdInvite漏洞，允许攻击者利用iOS系统中的已知ColdIntro漏洞（追踪编号 CVE-2023-27930）。攻击者虽然无法利用ColdIntro和ColdInvite漏洞完全接管设备，但可以利用协处理器获取内核的读 写权限，从而侵入设备产生更大的破坏力。苹果日前发布的iOS iPadOS 16.5更新已经修复了上述漏洞，推荐用户尽快升级。

22日消息，工信部公开征求对《工业领域数据安全标准体系建设指南（2023版）》（征求意见稿）的意见，其中提出建设目标，到2024年，初步建立工业领域数据安全标准体系，有效落实数据安全管理要求，基本满足工业领域数据安全需要，推进标准在重点行业、重点企业中的应用，研制数据安全国家、行业或团体标准30项以上。

22日消息，Bleeping Computer网站披露，上个月，出于经济动机的网络犯罪集团FIN7再次浮出水面，微软威胁研究人员将其与在受害者网络上部署Clop勒索软件有效载荷的攻击活动联系起来。在最近的攻击活动中，FIN7组织利用基于PowerShell的POWERTRASH内存中恶意软件植入程序在受感染的设备上部署Lizar后期开发工具，这使得威胁攻击者能够在目标网络中“站稳脚跟并横向移动”，以使用OpenSSH和Impacke t部署Clop勒索软件。

22日消息，美国网络安全和基础设施安全局（CISA）警告，一个影响三星设备的严重性漏洞正在被滥用。该漏洞被追踪为CVE-2023-21492，影响运行安卓11、12和13版本的特定三星设备。三星公司将该漏洞定义为一个信息披露漏洞，攻击者可以利用该漏洞绕过地址空间布局随机化（ASLR）保护。ASLR是一种安全技术，旨在通过掩盖设备内存中可执行文件的位置来阻止内存损坏和代码执行漏洞。目前，关于该漏洞如何被利用的其他细节尚不清楚。

近日，意大利眼镜集团Luxottica Group约7000万客户的个人信息泄露。2022年11月，黑客论坛Breached的成员试图出售一个2021年的数据库，涉及美国和加拿大Luxottica客户的3亿条记录。该数据库于4月30日和5月12日在黑客论坛上被公开，攻击者可以免费获取，共140 GB数据，包含305759991条记录、74417098个邮件地址和2590076个域邮件。数据库中的最新条目是2021年3月16日，Luxottica确认数据泄露是由于管理其客户数据的第三方承包商遭到攻击导致的。

21日消息，研究人员提出一种名为“BrutePrint”新的攻击方法，它可以对现代智能手机上的指纹进行暴力破解，绕过用户身份验证并控制设备。BrutePrint利用两个零日漏洞，即Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL)，破坏智能手机上防止暴力破解攻击的保护机制，如尝试次数限制和活体检测。研究人员还发现，指纹传感器的串行外设接口(SPI)上的生物特征数据保护不足，允许中间人攻击劫持指纹图像。

近日，领信数科宣布完成超亿元B轮融资，由北京晨壹并购基金投资，密码资本担任独家财务顾问。本次融资所获资金，领信数科将主要用于新一代的数字安全产品、数字大模型、智能数字平台等技术研发、供应链升级、数字化运营以及市场拓展等方面投入，力图打造新一代数字安全综合解决方案，为持续向广大中国数字化转型的客户提供优质的产品与服务，打好更加坚实而深厚的基础。

近日，Apple发布安全更新，修复iPhone、Mac和iPad中三个已被利用的漏洞。这些漏洞均在多平台WebKit浏览器引擎中被发现，分别是可用来突破Web内容沙箱的沙箱逃逸漏洞（CVE-2023-32409）、访问敏感信息的越界读取漏洞（CVE-2023-28204）和执行任意代码的释放后使用漏洞（CVE-2023-32373）。Apple通过改进边界检查、输入验证和内存管理解决了这些问题，没有公开有关这些攻击的详细信息。自年初以来，Apple已修复了6个零日漏洞。 

近日，Kaspersky披露恶意矿工Minas攻击活动的技术细节。研究人员从执行PowerShell开始重建了它的感染链：PowerShell脚本通过任务计划程序运行，并从远程服务器下载lgntoerr.gif文件，解密后生成.NET DLL，并从其资源中提取和解密三个文件，最后会在内存中提取并启动矿工DLL。研究人员称，Minas是一个使用标准实现的矿工，旨在隐藏其存在。目前无法完全确定最初的PowerShell命令是如何执行的，但种种迹象表明是通过GPO执行的。

22日消息，近全球多地华硕路由器的用户反馈，设备突然死机，然后在反复重启后，每隔几分钟就会因为设备内存耗尽而停止工作。华硕官方就服务器端安全维护错误向其客户道歉，该错误导致大量受影响的路由器型号失去网络连接。华硕在支持公告中解释道，在例行安全维护期间，技术团队发现服务器设置文件的配置存在错误，这可能会导致部分路由器的网络连接中断。

近日，法国国家信息与自由委员会（CNIL）考虑到保护个人数据对于设计和使用生成式人工智能、大型语言模型和相关应用（尤其是聊天机器人）工具的重大意义，公布了旨在规范生成式人工智能开发等方面的行动计划。内容包括四个方面，了解人工智能系统的运作及其对个人的影响，支持和监管尊重隐私的人工智能的发展，整合和支持法国和欧洲生态系统中的创新者以及审计和监控人工智能系统，保护个人。

近日，LayerZero Labs在Immunefi平台上推出一项漏洞赏金，为关键的智能合约和区块链漏洞提供最高15万美元的奖励，这一数字在加密领域创造了新纪录。奖励最高的类别是第一组，任务是发现影响以太坊、BNB链、Avalanche、Polygon、Arbitrum、Optimism和Fantom的关键错误，金额 25万美元到1500万美元不等。据悉，该计划由企业和软件开发人员发起，旨在奖励安全研究人员识别和报告其平台中的错误。

日前，网络安全审查办公室依法对美光公司在华销售产品进行了网络安全审查。审查发现，美光公司产品存在较严重网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全。为此，网络安全审查办公室依法作出不予通过网络安全审查的结论。按照《网络安全法》等法律法规，我国内关键信息基础设施的运营者应停止采购美光公司产品。

近日，CRIL发现冒充CapCut视频编辑软件的网络钓鱼网站。这些欺诈网站引诱用户下载和执行各种类型的恶意软件系列，例如窃取程序、RAT等。据悉，该工具是拥有TikTok的母公司ByteDance旗下的产品，它仅在Google Play上的下载量就超过5亿次，其网站每月的点击量超过3000万次。

英国工业陶瓷制造商维苏威火山在2月份遭遇网络安全事件，近日据外媒报道，该公司表示处理该起网络事件已导致350万英镑（460万美元）巨额损失。维苏威火山成立于1916年，在全球拥有90个生产基地和办事处，是伦敦证券交易所上市的350家最有价值的企业之一，全球员工超过1万名。

18日，瑞星公司主办的“瑞智安全 新一代瑞星网络安全平台暨产品发布会”与“共享星海 2023年度瑞星公司合作伙伴大会”于北京召开。会上，瑞星发布瑞星终端威胁检测与响应系统（EDR）、瑞星网络威胁检测与响应系统（NDR）两款新品，同时宣布新一代瑞星网络安全平台的推出。据悉，两款新品秉承瑞星完全自主研发的理念，并运用ChatGPT大语言模型的网络威胁检测引擎，可以为不同类型用户提升网络安全防御能力。

18日，第六届中国数据安全治理高峰论坛于北京举办，《数据安全治理白皮书5.0》在主论坛现场正式发布。首次推出七大行业数据安全治理实践集，从近年来我国数据战略及数据安全形势研判等多视角、多维度，对数据安全治理相关内容进行研究和探索，综合解读政策法规及安全事件，梳理厘清协同治理的相关概念与内涵，深入剖析数据安全治理面临的挑战与治理方法论，体系化描述各类监测与防护技术，建设性提出数据安全治理未来的发展和倡议。

据媒体18日援引的一份文件内容称，苹果公司已经限制员工使用ChatGPT和其他外部的人工智能（AI）工具。文件指出，苹果担心使用人工智能程序的员工会泄露公司的机密数据。此外还建议员工不要使用微软旗下的GitHub Copilot，该系统是一款AI编程助手，用于自动编写软件代码。

近日，Check Point称其监测到3个恶意Microsoft VSCode扩展，已被Windows开发人员下载了46600次。第一个扩展是Theme Darcula dark，它被用于窃取有关开发人员系统的基本信息。第二个名为python-vscode，它是一个C shell注入程序，可以在目标系统执行代码或命令。最后一个是prettiest java，可从浏览器窃取凭据或身份验证令牌，并通过Discord webhook发送给攻击者。目前，这些扩展已从VSCode中删除。