监管部门动向：工(gōng)信部发布最新(xīn)一批侵权APP通报；國(guó)務(wù)院发文(wén)再提数据出境；國(guó)家标准《移动互联网应用(yòng)程序（App）软件开发工(gōng)具(jù)包（SDK）安(ān)全要求》发布！

安(ān)全新(xīn)闻：印度再次流行社工(gōng)钓鱼活动；大江生医(yī)集团暗网泄露236.3GB数据；丹麦关键基础设施遭攻击。漏洞情况：Microsoft发布2023年11月安(ān)全更新(xīn)；页(yè)面排版软件、网关应用(yòng)程序、CPU出现漏洞存量漏洞情况：本周安(ān)卓App存量高危漏洞约130000，安(ān)卓、iOS TOP10漏洞名(míng)单曝光。

一、监管部门动向

工(gōng)信部：关于侵害用(yòng)户权益行為(wèi)的APP（SDK）通报（2023年第7批，总第33批）

工(gōng)业和信息化部高度重视用(yòng)户权益保护工(gōng)作(zuò)，依据《个人信息保护法》《网络安(ān)全法》《電(diàn)信条例》《電(diàn)信和互联网用(yòng)户个人信息保护规定》等法律法规，持续开展APP侵害用(yòng)户权益专项整治行动。近期，我部组织第三方检测机构对群众关注的实用(yòng)工(gōng)具(jù)、在線(xiàn)影音等移动互联网应用(yòng)程序APP及第三方软件开发工(gōng)具(jù)包（SDK）进行检查。发现13款APP、SDK存在侵害用(yòng)户权益行為(wèi)。

《信息安(ān)全技(jì )术 移动互联网应用(yòng)程序（App）软件开发工(gōng)具(jù)包（SDK）安(ān)全要求》

GB/T 43435-2023國(guó)家标准《信息安(ān)全技(jì )术 移动互联网应用(yòng)程序（App）软件开发工(gōng)具(jù)包（SDK）安(ān)全要求》由TC260（全國(guó)信息安(ān)全标准化技(jì )术委员会）归口，主管部门為(wèi)國(guó)家标准化管理(lǐ)委员会。已与2023年11月27日发布，起草(cǎo)单位為(wèi)爱加密、中(zhōng)國(guó)電(diàn)子技(jì )术标准化研究院、中(zhōng)國(guó)网络安(ān)全审查技(jì )术与认证中(zhōng)心、中(zhōng)國(guó)信息通信研究院等机构。后续爱加密将為(wèi)大家带来改标准的详细解读。

國(guó)務(wù)院：《支持北京深化國(guó)家服務(wù)业扩大开放综合示范區(qū)建设工(gōng)作(zuò)方案》

國(guó)務(wù)院于11月23日批复本方案，文(wén)中(zhōng)（二）探索新(xīn)兴业态规则规范 中(zhōng)提出推动建设数据跨境服務(wù)中(zhōng)心与技(jì )术服務(wù)平台，探索提供安(ān)全治理(lǐ)、监测审计、體(tǐ)系认证等全链条第三方服務(wù)。支持设立跨國(guó)机构数据流通服務(wù)窗口，以合规服務(wù)方式优先实现集团内数据安(ān)全合规跨境传输。

工(gōng)信部：《工(gōng)业和信息化领域数据安(ān)全行政处罚裁量指引（试行）》

為(wèi)贯彻落实《数据安(ān)全法》《工(gōng)业和信息化领域数据安(ān)全管理(lǐ)办(bàn)法（试行）》，推动工(gōng)业和信息化领域数据安(ān)全行政处罚工(gōng)作(zuò)制度化、规范化开展，工(gōng)信部研究起草(cǎo)了《工(gōng)业和信息化领域数据安(ān)全行政处罚裁量指引（试行）》。

北京高院：《侵犯公(gōng)民(mín)个人信息犯罪审判白皮书》

2023年11月15日，北京高级人民(mín)法院发布了《侵犯公(gōng)民(mín)个人信息犯罪审判白皮书》。随着信息技(jì )术的高速发展，个人信息的安(ān)全问题得到了社会的广泛关注，据统计，白皮书中(zhōng)透露有(yǒu)近三分(fēn)之一的案件涉案公(gōng)民(mín)个人信息来源于技(jì )术窃取。

二、安(ān)全新(xīn)闻

东亚地區(qū)出现新(xīn)一轮恶意应用(yòng)程序攻击

现针对印度用(yòng)户的新(xīn)一轮网络钓鱼攻击活动。攻击者利用(yòng)社交媒體(tǐ)平台发送消息，引导安(ān)装(zhuāng)收集敏感数据的欺诈性应用(yòng)程序，窃取银行密码等信息。

中(zhōng)國(guó)台湾大江生医(yī)集团暗网泄露236.3GB数据

大江生医(yī)股份有(yǒu)限公(gōng)司是中(zhōng)國(guó)台湾地區(qū)的企业，全球500强上市公(gōng)司，成立于1980年，是一家生物(wù)整合设计公(gōng)司，集团下设有(yǒu)四大生产(chǎn)中(zhōng)心，分(fēn)别坐(zuò)落在中(zhōng)國(guó)台湾、中(zhōng)國(guó)上海，以及美國(guó)、日本。目前有(yǒu)大江生医(yī)、上海百岳特、大江生活、光腾新(xīn)药、和康生技(jì )、沛富生技(jì )等多(duō)家子公(gōng)司。

Optus母公(gōng)司新(xīn)加坡電(diàn)信否认对网络中(zhōng)断负责

11月8日（当地时间周三），澳大利亚第二大電(diàn)信公(gōng)司澳都斯（Optus）发生全國(guó)性网络中(zhōng)断，导致数百万客户无法使用(yòng)電(diàn)话和互联网服務(wù)。Optus是新(xīn)加坡電(diàn)信（Singtel）在澳洲的子公(gōng)司。拥有(yǒu)Optus的新(xīn)加坡電(diàn)信集团新(xīn)加坡電(diàn)信(Singtel)周四表示，上周三中(zhōng)断了大约1020万用(yòng)户的互联网和移动接入，原因不是例行升级。

丹麦CERT报告全面分(fēn)析针对该國(guó)基础设施的最大规模网络攻击

丹麦非营利性网络安(ān)全组织SektorCERT近日发布题為(wèi)《针对丹麦关键基础设施的攻击》的分(fēn)析报告，全面分(fēn)析和总结了2023年5月针对丹麦关键基础设施的广泛网络攻击，并指出具(jù)有(yǒu)俄罗斯官方背景的黑客组织“沙虫”可(kě)能(néng)参与了此次攻击。

韩國(guó)软件公(gōng)司泄露超过5000万条敏感信息

遭泄露的信息包括员工(gōng)姓名(míng)、電(diàn)子邮件和電(diàn)话号码，员工(gōng)/雇佣合同编号，各类文(wén)件（docx、pdf），发送的二进制文(wén)件的元数据（可(kě)执行文(wén)件名(míng)、文(wén)件存储路径、版本名(míng)称等），员工(gōng)IP、用(yòng)户代理(lǐ)和访问内部工(gōng)具(jù)的URL等。这些类型的泄漏尤其有(yǒu)价值，因為(wèi)它们会泄露大量内部信息，让攻击者能(néng)够更好地了解目标和伪造身份。

三、最新(xīn)漏洞播报

Intel披露Reptar安(ān)全漏洞，可(kě)绕过CPU安(ān)全边界

近日，Intel修复了其现代台式机、服務(wù)器、移动和嵌入式CPU中(zhōng)的一个CPU漏洞。攻击者可(kě)以利用(yòng)CVE-2023-23583漏洞提升权限、访问敏感信息或触发拒绝服務(wù)状态。https://www.freebuf.com/news/383884.htmlMicrosoft发布2023年11月安(ān)全更新(xīn)1月15日，微软发布了2023年11月份的月度例行安(ān)全公(gōng)告，修复了多(duō)款产(chǎn)品存在的63个安(ān)全漏洞，影响产(chǎn)品包括Windows11、Windows10、Windows Server 2022、Windows Server 2008和Microsoft Office等。

Adobe FrameMaker 安(ān)全漏洞（CNNVD-202311-1570）

Adobe FrameMaker 是美國(guó)奥多(duō)比（Adobe）公(gōng)司的一套用(yòng)于编辑大型或复杂文(wén)档（包括结构化文(wén)档）的页(yè)面排版软件。Adobe FrameMaker 2022版本及之前版本存在安(ān)全漏洞，该漏洞源于身份验证不正确。攻击者利用(yòng)该漏洞可(kě)以绕过安(ān)全检查功能(néng)。目前厂商(shāng)已发布升级补丁以修复漏洞。

Microsoft Host Integration Server 安(ān)全漏洞 （CNNVD-202311-1065）

Microsoft Host Integration Server 是微软的一个网关应用(yòng)程序，提供 Microsoft Windows 网络与IBM大型机和IBMi系统之间的连接。提供了对 SNA，3270、5250，CICS，APPC和其他(tā)IBM协议的支持。Microsoft Host Integration Server存在安(ān)全漏洞。攻击者利用(yòng)该漏洞可(kě)以遠(yuǎn)程执行代码。目前厂商(shāng)已发布升级补丁以修复漏洞。

Intel One Boot Flash Utility 安(ān)全漏洞（CNNVD-202311-1171）

Intel One Boot Flash Utility 是英特尔的一种用(yòng)于更新(xīn)系统的 BIOS、BMC、SDR、FRU的程序。Intel One Boot Flash Utility 14.1.31之前版本存在安(ān)全漏洞。攻击者利用(yòng)该漏洞可(kě)以提升权限。厂商(shāng)已发布升级补丁以修复漏洞。

四、存量漏洞统计

爱加密長(cháng)期基于安(ān)全检测引擎，对应用(yòng)进行107项漏洞扫描后存入爱加密大数据平台，周报中(zhōng)仅披露部分(fēn)数据，可(kě)于爱加密大数据平台中(zhōng)查看整體(tǐ)情况、恶意软件情况、历史通报情况等信息。11月13日-11月26日期间安(ān)卓、iOS端TOP10风险漏洞如下

安(ān)卓应用(yòng)高危漏洞占比约17%，各应用(yòng)开发企业应提高安(ān)全防护意识，解决漏洞问题，提高应用(yòng)安(ān)全能(néng)力。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密时刻关注我國(guó)的移动应用(yòng)安(ān)全发展状况，致力于通过优质(zhì)的核心技(jì )术，从行业实践角度着手大力推动我國(guó)移动应用(yòng)个人信息安(ān)全保护生态的良好发展。