近日，国家金融监督管理总局发布《关于加强银行业保险业移动互联网应用程序管理的通知》，通知要求金融机构加强统筹，开展移动应用全生命周期管理，结合金融机构移动应用存在的问题提出针对性管理要求，有效规范金融机构移动应用的建设管理工作，提升金融机构移动应用安全保障水平和金融服务水平，并从加强统筹管理、加强全生命周期管理、落实风险管理责任以及加强监督管理四大方面提出具体工作要求。

近日，国家互联网信息办公室起草了《人工智能生成合成内容标识办法（征求意见稿）》，现向社会公开征求意见。文件中规定了该办法的适用范围，对人工智能生成合成内容做出定义，并规范了显式 隐式标识要求，明确了平台服务提供者、互联网应用程序分发平台的责任和处罚等内容。

近日，安全研究人员通过蜜罐技术，发现了新型恶意软件Hadooken正在攻击Oracle WebLogic这种广泛应用于大型企业的Java应用服务器平台。值得注意的是，攻击者使用了两个几乎相同的脚本（一个Python脚本和一个C语言脚本）来下载和执行Hadooken，可能是为了确保攻击的成功率。这种恶意软件不仅能够部署加密货币挖矿程序，还可能引发DDoS攻击，还能创建多个cron作业以保持对被攻陷系统的持续控制。研究人员认为攻击者很可能会将目标扩展到其他Linux平台。

近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，黑客一旦成功利用，就可推断出用户在该设备的虚拟键盘上输入的具体数据。该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。据悉，攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。目前，GAZEploit 是该领域首个已知利用泄露的注视信息远程执行按键推断的攻击方式.

近日，在 Dr.Web 的最新报告中，研究人员发现有 200 多个国家的 130 万台设备都感染了 Vo1 d 恶意软件，攻击者能够完全控制这些设备。在此次恶意软件活动中，被视为目标的安卓电视固件包括，安卓 7.1.2；R4 版本 NHG47K，安卓 12.1；电视盒版本 NHG47K和安卓 10.1；KJ-SMART4KVIP Build NHG47K。根据安装的 Vo1d 恶意软件版本，该活动将修改或替换操作系统文件，所有这些文件都是 Android TV 中常见的启动脚本。该恶意软件活动利用这些脚本实现持久性，并在启动时激活Vo1d恶意软件。 

近日，全球知名网络安全公司Fortinet确认遭遇了一次大规模数据泄露事件，亚太地区客户受到影响。一名自称为“Fortibitch”的黑客声称通过攻破Fortinet的Microsoft SharePoint服务器并窃取了440GB的数据，随后在黑客论坛上公布了存储这些数据的S3存储桶的凭据，供其他黑客下载被盗文件。据悉，黑客“Fortibitch”曾尝试通过勒索手段向Fortinet索取赎金，但该公司拒绝支付。目前，Fortinet已经采取措施通知受影响的客户，并正在进一步调查这一事件。

工信部近日印发《关于推进移动物联网“万物智联”发展的通知》，明确了移动物联网发展目标并部署了四方面主要任务：一是夯实物联网络底座，主要包括加强网络规划建设、提升网络智联能力；二是提升产业创新能力，主要包括推进标准体系建设、增强产业供给能力；三是深化智能融合应用，主要包括推动产业数字化转型、促进社会治理智能化、助力民众生活智慧化；四是营造良好发展环境，主要包括优化价值评估方法、提高行业服务水平、完善安全保护机制。

IT之家 9 月 8 日消息，安全技术公司 McAfee 的移动研究团队发现了一种新型的移动恶意软件，该软件通过扫描设备上可能包含助记键的图像来攻击助记键。助记键本质上是一个 12 个单词的短语，可以帮助用户恢复加密货币钱包。McAfee 透露，这种 Android 恶意软件伪装成各种受信任的应用程序，一旦安装，这些虚假应用程序就会秘密收集用户的短信、联系人和所有存储的图像并将其发送到远程服务器，通过加载屏幕、空白屏幕来隐藏他们的真实活动。

IDC最新发布的《2024年第二季度中国安全硬件市场跟踪报告》显示，2024年第二季度中国安全硬件市场整体收入约为41.6亿元人民币（约合5.7亿美元），同比增长0.1%。综合上半年数据，2024年上半年中国IT安全硬件市场规模达到73.3亿元人民币（约合10.2亿美元），同比下降2.5%。     原文链接

2024年国家网络安全宣传周已于9月8日在广州盛大开幕，活动将于9月9日至15日在全国统一举行。本届安全周已“网络安全为人民，网络安全靠人民”为主题，旨在提升全面网络安全意识和防护技能。开幕式上，中共中央政治局委员、广东省委书记黄坤明等领导出席并致辞，强调了网络安全在国家战略中的重要性，并提出了加强网络安全建设的目标。活动期间，将举办网络安全技术高峰论坛、网络安全博览会、网络安全人才招聘专场活动、网络安全创新创业投资专场活动等一系列重要活动。     原文链接

9月6日，在2024Inclusion·外滩大会上，WDTA世界数字技术院正式发布国际标准《大模型供应链安全要求》。该标准给出了大语言模型的供应链安全保护框架，从数据准备、大模型开发到部署运维各个环节涉及的供应链相关安全风险和供应活动管理给出了要求，并给出了常见的供应链安全风险、典型安全案例等相关信息。通过这一标准，可有效识别和评估大模型系统生命周期中面临的供应链潜在安全风险，确保供应链的完整性、可用性、保密性，从而提升大模型系统的安全性。

近日，Patchstack 的 Rafie Muhammad 在 LiteSpeed Cache 插件中发现了一个严重漏洞，该插件主要用于加快超 600 万个 WordPress 网站的用户浏览速度。该漏洞被追踪为 CVE-2024-44000，并被归类为未经身份验证的帐户接管问题 。下载LiteSpeed Cache的用户已超过37.5万，因此易受这些攻击影响的网站数量可能超过560万。

近日，工信部、中央网信办等多部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》。其中指出，增强全方位安全保障能力，强调发展与安全协调，从网络安全、数据安全、稳定安全运行等方面提升信息基础设施安全能力，增强跨行业安全服务赋能能力。要提升网络和数据安全保障能力，强化新技术风险评估和安全管理，加强网络和数据安全监测预警和应急处置手段建设，增强跨行业安全服务赋能。要保证信息基础设施稳定安全运行，坚决遏制重特大安全事故发生。

近日，FortiGuard Labs揭露了一种新型勒索软件变种Underground，它与黑客组织RomCom紧密相关。这款恶意软件自2023年7月起肆虐，重点攻击建筑、制药、银行及制造业等多个关键行业，通过加密受害者Windows系统上的文件来勒索赎金。该组织运营了一个数据泄露网站，公开拒绝支付赎金的受害者信息。网站已列出16个国家的受害者名单，涵盖美、法、德、西、韩、台、新及加等地。此外，该组织还利用Telegram和Mega云存储服务扩大其影响力，传播窃取的数据。

近日，Zyxel 发布安全更新，以解决影响其多款商用路由器的关键漏洞。该漏洞被追踪为CVE-2024-7261，CVSS得分 9.8，是一个输入验证故障，由用户提供的数据处理不当引起。Zyxel 警告称，某些AP和安全路由器版本的 CGI 程序对参数 “host ”中特殊元素的中和不当，可能允许未经认证的攻击者通过向有漏洞的设备发送伪造的 cookie 来执行操作系统命令。

Google发布了针对Android操作系统的关键零日漏洞CVE-2024-32896的修补程序。该漏洞属于高严重性权限提升（EoP）缺陷，主要影响 Pixel 设备。在修补程序发布之前，CVE-2024-32896已被有限、针对性地利用，漏洞的存在使攻击者能够在没有PIN码的情况下解锁Android设备，并访问存储的数据，对用户隐私和安全构成重大风险。

9月，德国SchenkYou公司遭遇数据泄露事件，黑客声称已获取该公司全部客户数据库，并在暗网上出售。泄露的数据包括237,370个独特的电子邮件地址和总计600万条记录，涉及多类敏感信息。黑客要求以1500美元的比特币或门罗币出售数据库，并提出以5万美元的价格将数据库卖回给SchenkYou公司。

据中国证券网，9月5日早盘，计算机板块开盘拉升，截至9时30分，包括格尔软件在内的多个股涨停。安全419了解到，近日，浙江格尔国信科技有限公司成立，由两家格尔软件全资子公司共同持股，经营范围包含网络信息安全和AI基础软件的开发等。格尔软件成立新公司或拉动其股价提升。另外据其2024年半年度报告，公司营收、净利同比实现双增长，营收涨幅18.5%达到1.93亿元，销售、管理费用同比下降31.48%、24.50%，其深挖数据安全领域夯实业绩，布局抗量子密码或将进入收获期。

近日，安全研究人员发现，有境外间谍情报机关瞄准青年学生群体，以高薪 “兼职” 为诱饵，通过投其所好、巧妙包装、虚情假意、操纵诱导等手段，拉拢、利诱、胁迫青年学生为其从事间谍活动及其他违法行为。警醒我们在网络环境中要保持高度警惕，不能轻易被高薪 “兼职” 等诱惑所吸引。

9 月 3 日，世界互联网大会国际组织在北京召开推动构建网络空间命运共同体迈向新阶段理论研讨会。会议指出构建网络空间命运共同体理念的重要意义，并提出各方应以该理念为指引，推动构建网络空间命运共同体迈向新阶段。