文章最后更新时间2026年07月19日,若文章内容或图片失效,请留言反馈!
Windows HTTP.sys整数溢出漏洞(CVE-2026-47291)
Windows HTTP.sys 整数溢出漏洞(CVE-2026-47291)是微软Windows内核驱动程序中的高危漏洞,允许攻击者通过构造恶意HTTP请求远程执行代码。该漏洞源于HTTP.sys在处理请求头时对16位整数容量的溢出检查不足,导致内存分配错误,攻击者可利用此漏洞获取系统权限。影响范围包括Windows 10/11及各版本Server系统,需通过注册表限制maxrequestbytes参数(设置为65534)作为临时缓解措施。Linux FUSE page cache本地权限提升漏洞(CVE-2026-31694)
SonicWall SMA1000服务器端请求伪造漏洞(CVE-2026-15409)是SonicWall SMA1000设备WorkPlace界面中的高危漏洞,无需认证即可远程利用。该漏洞允许攻击者构造恶意URL,迫使设备向内部或外部非预期地址发起HTTP/HTTPS请求,可能导致敏感信息泄露、内网扫描或进一步攻击。受影响型号包括SMA1000系列的6210、7210和8200V,运行特定版本的12.4.3或12.5.0固件。23andMe因基因数据泄露事件支付1800万美元和解金
7月16日BleepingComputer消息,基因检测公司23andMe同意支付1800万美元,以解决美国43个州总检察长针对其2023年大规模数据泄露事件提出的调查和索赔。此次事件发生于2023年4月至9月,攻击者通过“撞库攻击”(Credential Stuffing)获取用户账户访问权限,导致约690万名用户的个人资料和遗传相关信息暴露。泄露数据包括姓名、出生年份、地址、祖源信息、DNA匹配关系以及部分健康相关信息等敏感数据。原文链接:https://www.bleepingcomputer.com/news/security/23andme-to-pay-18-million-in-new-genetics-data-breach-settlement/美国乳制品企业Fairlife遭勒索软件攻击,旗下美国生产业务暂停
7月17日The Record消息,可口可乐旗下乳制品品牌Fairlife遭遇勒索软件攻击,导致其美国境内生产运营暂时中断。Fairlife发现攻击者未经授权访问了部分企业系统,包括与生产相关的系统,并随后启动应急响应措施,关闭受影响环境以防止进一步扩散。目前公司正在外部网络安全专家协助下开展调查、系统恢复和影响评估工作,已向执法机构报告事件。Fairlife表示,现有市场产品的质量和安全未受到影响,加拿大生产业务也未受到此次事件影响。https://therecord.media/dairy-company-fairlife-suspends-production-us-cyber-incident安永确认第三方IT支持平台遭入侵
7月17日GBHackers消息,全球四大会计师事务所之一安永(EY)披露一起数据泄露事件。攻击者入侵了一套由第三方提供的IT支持工单系统,该平台用于支持EY员工处理客户税务相关业务,部分工单附件中包含客户税务文件及其他敏感资料。调查显示,攻击者于2026年3月28日至4月12日期间未经授权访问该平台,并下载了部分客户文档,可能涉及个人身份信息、财务信息及税务申报资料。EY表示,事件发现后已立即终止未授权访问、加固相关系统,并聘请网络安全专家开展取证调查,同时向受影响客户发出通知并提供身份保护服务。https://gbhackers.com/ey-data-breach-third-party-it-support-tax-documents/《网络安全技术 人工智能应用安全分类分级方法》等4项国家标准公开征求意见
《网络安全技术 人工智能应用安全分类分级方法》是由全国网络安全标准化技术委员会提出并归口的国家标准,于2026年7月15日公开征求意见。该标准旨在为人工智能应用开发者、运营者提供安全分类和分级指导,从应用场景属性、任务属性、智能化能力三方面分析风险类型,并按影响严重程度和发生概率划分安全级别(如重大或特别重大风险级)。其核心内容包括风险清单(覆盖网络、信息、现实等安全风险)和分级方法(采用就高从严原则)。标准征求意见截止时间为2027年9月13日,反馈可发送至[email protected]。原文链接:https://www.tc260.org.cn/portal/suggestion-detail/c8801e1c45954e098355a334d703a003交通运输部印发《交通运输数据安全管理办法》
交通运输部印发的《交通运输数据安全管理办法》是行业首部数据安全管理制度,共7章41条。该办法明确交通运输数据划分为核心数据、重要数据、一般数据(细分为3/2/1级)三级保护,要求数据处理者建立全生命周期安全管理制度,并规定重要数据每年开展风险评估、跨境传输需履行合规义务、AI数据处理需评估伦理风险等具体要求。办法还建立了行业监测预警机制,将数据安全事件分为四个等级,强化分级响应与应急处置。https://xxgk.mot.gov.cn/xzgfxwj/202607/t20260713_4209545.html工信部等四部门印发《关于推动互联网基础资源高质量发展的指导意见》
《关于推动互联网基础资源高质量发展的指导意见》是工信部等四部门于2026年7月13日联合发布的政策文件,旨在通过优化IP地址、域名等基础资源管理,推动互联网创新发展。该文件提出到2030年建成智能互联新型基础设施,到2035年成为全球互联网创新引领者,重点任务包括突破IPv6、卫星互联网等关键技术,强化数据安全监测与应急处置,并构建"网联、物联、数联、智联"四联动体系。政策特别强调保障基础资源供给安全,加强.cn顶级域名防护,并推动工业互联网与域名体系融合。https://wap.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2026/art_fefdddaaa4ac49edb130c85d048a2933.html关于我们
漳州中成信息科技有限公司是一家专注于网络安全实战防护的创新型服务提供商。我们深刻理解网络安全的核心在于攻防对抗的持续较量,并以此独特视角为基石,致力于为客户构建动态、主动、智能化的纵深防御体系。区别于传统的被动防御,我们坚信“未知攻,焉知防”。公司汇聚了顶尖的渗透测试专家(红队)、应急处置精英(蓝队)及经验丰富的安全服务工程师,形成了一支具备完整攻防对抗能力的专业团队。我们的渗透测试团队模拟真实攻击者的思维与手段,深入挖掘系统、应用及网络中的深层次漏洞与风险点;应急处置团队则能在安全事件发生时快速响应、精准定位、有效遏制损失并溯源根因;安服工程师团队则致力于将攻防对抗中获得的宝贵经验转化为常态化的安全策略、加固措施与运营流程。推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om
发表评论