全球动态

1. 两部门就《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见

7月26日，公安部、国家互联网信息办公室发布关于《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见的公告。不满十四周岁的自然人需要申领网号、网证的，应当征得其父母或者其他监护人同意，并由其父母或者其他监护人代为申领。【阅读原文】

2. 法国总理：对巴黎奥运会的网络攻击是不可避免的

法国国家网络安全机构ANNSI周四举行会议，促使法国总理加布里埃尔·阿塔尔（Gabriel Attal）警告公众，巴黎奥运会期间的网络攻击将是“不可避免的”。【外刊-阅读原文】

3. 俄罗斯调整对乌网络战策略：从民用关基设施转向军事目标

大半年以来，多个俄罗斯网络单位已经将目标从战略性民用目标转向了士兵的电脑和手机终端，以便在乌克兰前线实现战术性军事目标；俄罗斯情报部门寻求最大限度地整合网络作战与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。【阅读原文】

4. .Top 域名注册商江苏邦宁科技收到 ICANN 警告

.Top 全球顶级域名注册局江苏邦宁科技收到了 ICANN 的警告函，要求在 2024 年 8 月中旬前证明已经建立了一套管理钓鱼域名报告和封禁滥用域名的系统，否则将会面临取消域名出售资格。【阅读原文】

5. CrowdStrike 的 10 美元代金券引发争议

在导致全世界 850 万台电脑蓝屏死机之后，美国安全公司 CrowdStrike 向受影响的客户提供了 10 美元 UberEats 代金券，以用于购买咖啡或夜宵，在忙得不可开交之际休息下。对受影响的客户而言，此举被视为是嘲笑而不是道歉，他们认为这根本不可能弥补因蓝屏死机导致的损失。【阅读原文】

6. 使用 AI 软件生成未经证实假新闻，一网民被处以行政处罚

据“云南网警”消息，云南省迪庆州香格里拉市公安局网安大队查处了一起利用 AI 人工智能技术炮制虚假不实信息的案件。【阅读原文】

安全事件

1. 加密密钥曝光导致安全启动失效，影响戴尔、宏碁、联想等近 500 款型号设备

该数据库以 500 美元的价格出售，数据库中包括 2017 年的 PDF 版本和更新的 CSV 版本。与此同时，卖家还提供了一个包含数据类型的示例格式，泄露数据类型有：RUT（智利身份证号码）、姓名、完整地址、地区等。【阅读原文】

2. OpenStack Nova 漏洞允许黑客未经授权访问云服务器

该漏洞被跟踪为 CVE-2024-40767，影响了 Nova 的多个版本，并对全球云基础设施构成严重风险。

【外刊-阅读原文】

3. PKfail 安全启动绕过允许攻击者安装 UEFI 恶意软件

由于称为 PKfail 的关键固件供应链问题，来自 10 家供应商的数百种 UEFI 产品容易受到攻击，该问题允许攻击者绕过安全启动并安装恶意软件。【外刊-阅读原文】

4. Progress 警告 Telerik Report Server 中存在严重 RCE 错误

Progress Software 已警告客户修补 Telerik Report Server 中的关键远程代码执行安全漏洞，该漏洞可用于破坏易受攻击的设备。【外刊-阅读原文】

5. 美国司法部起诉朝鲜黑客对医院进行勒索软件攻击

美国司法部（DoJ）公布了对一名朝鲜军事情报人员的起诉书，该特工涉嫌对该国的医疗机构进行勒索软件攻击。【外刊-阅读原文】

6. 网络攻击者在窃取活动中利用 Microsoft SmartScreen 漏洞

于2 月份修补的 Microsoft Defender SmartScreen 漏洞仍在全球范围内用于信息窃取攻击，Fortinet 标记了两个攻击者：Meduza 和 ACR，到目前为止，攻击范围已包括美国、西班牙和泰国。

【外刊-阅读原文】

优质文章

1. 实战案例解析：HTTP请求走私，账户安全的隐形刺客

在当今复杂的网络环境中，HTTP协议作为互联网通信的基石，其安全性直接关乎数据传输的可靠性与用户隐私的保护。HTTP请求走私，作为一类潜藏的协议级漏洞，一直以来是安全领域关注的焦点。本文旨在通过详尽解析一个实战案例，剖析HTTP请求走私的内在机制、攻击路径与实际影响。【阅读原文】

2. 攻防演练 | 内网渗透信息搜集骚姿势

说到信息搜集，一般大家都会联想到Web外部打点的暴露面信息搜集，但在内网渗透的过程中，信息搜集也是决定成败的决定性因素，特别是做持久化渗透中，对内网的信息搜集是尤其重要的，让我们来看看内网渗透之信息搜集骚姿势。【阅读原文】

3. 美国工控安全漏洞管理政策研究与思考

当前，我国工业领域数字化、网络化、智能化加速融合发展，取得了显著成效，但与此同时，网络风险也不断向工业领域渗透蔓延。近年来，工控安全漏洞数量快速增长，工业企业因漏洞利用而遭受攻击的风险不断攀升，新型攻击威胁如勒索软件等持续加剧。因此，强化工控安全漏洞管理，提升工业领域网络安全防护水平已成为各国竞相关注的重要议题。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。