网络空间安全动态(2025011期)
编者按:网安动向热讯,本期有八点值得关注:一是《中华人民共和国网络安全法(修正草案再次征求意见稿)》公开征求意见;二是中央网信办、工信部、公安部、市场监管总局联合发布2025年个人信息保护系列专项行动公告;三是《工业和信息化领域人工智能安全治理标准体系建设指南(2025)》公开征求意见;四是《关键信息基础设施安全测评要求》行业标准正式发布;五是《交通运输行业网络安全实战演练工作规程》行业标准正式发布;六是美NIST发布保护人工智能系统免受对抗性攻击的最新指南;七是美国防部与菲律宾国防部发布联合声明,启动双边网络安全行动;八是欧盟将投资13亿欧元发展人工智能、网络安全和数字技能。
数据前沿快讯,本期有五点值得关注:一是英国政府将修订《网络安全与弹性法案》,首次将数据中心列为关键基础设施;二是国家市场监管总局印发《网络交易合规数据报送管理暂行办法》;三是国家数据局发布《数据领域常用名词解释(第二批)》;四是北京市发布首个数据跨境流动综合性改革方案;五是上海市网信办就《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》公开征求意见。
网安事件聚焦,本期有两方面内容建议关注:一是俄乌网络对抗升级背景下,关键民用设施在网络冲突中的脆弱性再次凸显。本期介绍:莫斯科地铁售检票系统突发大规模服务中断;研究人员发现银狐新变种突袭我国医疗系统;APT组织Lazarus采用ClickFix策略攻击加密货币求职者;美国防承包商NDC及子公司AMTEC遭黑客攻击,其系统被加密。二是社交媒体和医疗行业成数据泄露重灾区,对用户个人信息安全构成严重威胁。本期介绍:社交媒体X平台被曝遭遇严重数据泄露,涉及超28亿条个人数据信息;三星德国票务系统因凭证失窃致27万客户数据泄露;新兴勒索软件组织声称窃取美电信巨头WOW数百万用户数据;黑客组织声称入侵以色列网络安全公司并出售其敏感数据;知名医疗信息化服务商因旧服务器遭入侵致美多家医院患者数据泄露;英国医疗服务体系供应商因客户数据泄露遭处罚。
网安风险警示,本期有五点建议关注:一是文件传输服务器软件CrushFTP存在身份验证绕过漏洞;二是Ingress NGINX控制器存在远程代码执行漏洞;三是美CISA将思科智能许可漏洞列入被利用目录并明确修复期限;四是关于谷歌Chrome浏览器存在沙箱逃逸漏洞的安全公告;五是现代化前端开发构建工具Vite存在任意文件读取漏洞。
一、网安动向热讯
(一)《中华人民共和国网络安全法(修正草案再次征求意见稿)》公开征求意见
3月28日,国家网信办就《中华人民共和国网络安全法(修正草案再次征求意见稿)》向社会公开征求意见,意见反馈截止日期为2025年4月27日。修改思路:一是坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想。二是坚持问题导向,重点强化网络安全法律责任,加大对违法行为处罚力度。三是坚持体系化衔接,加强与《数据安全法》《个人信息保护法》《行政处罚法》等相关法律有机衔接,在行政处罚的种类、范围、幅度等方面作出合理安排。四是坚持分类施策,科学设置网络运行安全、网络信息安全等不同类型违法行为的法律责任。修改内容包括:一是关于网络运行安全的法律责任。二是关于网络信息安全的法律责任。三是关于个人信息和重要数据安全的法律责任。四是关于从轻、减轻或者不予行政处罚的情形。(信息来源:网信中国)
(二)中央网信办、工信部、公安部、市场监管总局联合发布2025年个人信息保护系列专项行动公告
3月28日消息,中央网信办、工信部、公安部、市场监管总局联合发布关于开展2025年个人信息保护系列专项行动的公告,相关部门将围绕以下重点问题开展系列专项行动:1.App(含小程序、公众号、快应用)违法违规收集使用个人信息。2.SDK违法违规收集使用个人信息。3.智能终端违法违规收集使用个人信息。4.公共场所违法违规收集使用人脸识别信息。5.线下消费场景违法违规收集使用个人信息。6.个人信息相关违法犯罪案件。四部门将有序推进系列专项行动中的各项任务,集中治理各类典型违法违规问题,对拒不整改的依法从严处理。同时,有关部门将根据实际工作需要及时调整重点治理问题,确保专项行动取得实效,切实保护公民个人信息安全。(信息来源:网信中国)
(三)《工业和信息化领域人工智能安全治理标准体系建设指南(2025)》公开征求意见
3月28日消息,工业和信息化部人工智能标准化技术委员会发布《工业和信息化领域人工智能安全治理标准体系建设指南(2025)(征求意见稿)》公开征求意见的通知,意见反馈截止日期为2025年4月15日。指南明确两个建设目标,短期目标(1-2年)要求初步构建工业和信息化领域人工智能安全标准体系框架,明确标准体系的总体架构、分类和关键标准领域。长期目标(3-5年)要求完善工业和信息化领域人工智能安全标准体系,补充和细化各领域的安全标准,并促进与国际标准的对接协调。建设内容涵盖人工智能治理能力;人工智能基础设施安全;人工智能网络安全;人工智能数据安全;人工智能算法模型安全;人工智能应用安全和人工智能赋能安全。(信息来源:工信部人工智能标准化技术委员会)
(四)《关键信息基础设施安全测评要求》行业标准正式发布
3月31日,由公安部网络安全保卫局组织起草的《关键信息基础设施安全测评要求》(GA/T 2182-2024)行业标准正式发布,自2025年5月1日起施行。该标准规定了针对关键信息基础设施(以下简称“关基”)开展安全测评的要求和方法,适用于规范关基运营者及网络安全服务机构开展关基安全测评工作。《关键信息基础设施安全测评要求》是推动关基安全保护、建立全面安全防护体系的重要手段,将帮助运营者深入挖掘并消除安全隐患,实现从“发现”到“整改”的闭环管理。公安机关将为运营者提供指导和协助,帮助其提升关基安全保护能力,维护国家安全,保障经济和社会稳定发展。(信息来源:公安部网络安全等级保护中心)
(五)《交通运输行业网络安全实战演练工作规程》行业标准正式发布
4月1日消息,由中国交通通信信息中心、交通运输信息安全中心、国家信息技术安全研究中心等共同编制的《交通运输行业网络安全实战演练工作规程》(JT/T 1545—2025)行业标准正式发布,将于2025年7月1日实施。该标准是国内首部网络安全实战演练领域标准,网络安全实战演练可通过模拟真实网络攻击场景,检验和提升组织的网络安全防护能力,更好地应对日益复杂的网络安全威胁。该标准规定了网络安全实战演练流程,适用于指导交通运输行业各级交通运输主管部门、企事业单位和运营者组织开展网络安全实战演练工作。该标准的发布实施将促进实战演练工作管理和实施规范化,完善防护措施,有效应对外部网络攻击,建强网络和数据安全防线,维护交通运输行业信息系统稳定运行。(信息来源:交通运输信息安全中心)
(六)美总统特朗普宣布科技政策办公室主要目标
3月27日消息,美总统特朗普致信白宫科技政策办公室主任,并为其设定三个主要目标。包括确保美国在人工智能、量子信息科学和核技术等关键新兴技术领域的世界领先地位,并保持对潜在对手的优势;振兴美国科技事业,减少行政负担并授权研究人员取得突破性发现;确保科学进步和技术创新推动经济增长并改善所有美国人的生活。(信息来源:美白宫网站)
(七)美NIST发布保护人工智能系统免受对抗性攻击的最新指南
3月27日消息,美国家标准与技术研究所(NIST)正式发布保护人工智能系统免受对抗性攻击的最新指南—《对抗性机器学习:攻击和缓解的分类和术语》。该指南描述了对抗性机器学习的分类法和术语,有助于保护人工智能应用免受对抗性操纵和攻击;为分类攻击,区分了预测性人工智能系统和生成式人工智能系统,并介绍了与两类系统相关的攻击;探讨了人工智能系统的组成部分,包括数据、模型本身、训练、测试和部署模型的过程,以及模型可能嵌入的更广泛的软件和系统环境。该指南分五个维度对攻击进行分类:一是人工智能系统类型;二是发起攻击的机器学习生命周期过程阶段;三是攻击者试图破坏的系统属性方面的目标和目的;四是攻击者的能力和访问权限;五是攻击者对学习过程及其他方面的了解。(信息来源:奇安网情局)
(八)美国防部与菲律宾国防部发布联合声明,启动双边网络安全行动
3月27日至28日,美国防部长赫格塞斯首次访问菲律宾,期间美国防部与菲国防部发布联合声明,并宣布一系列新举措。其中包括:美将在菲律宾部署更先进的军事力量,包括高性能无人水面舰艇、海军陆战队远征舰艇拦截系统;双方军队将在更为复杂的场景下开展联合训练;双方发布双边国防工业合作愿景声明,促进更强大的军事和工业伙伴关系,加强无人系统联合生产和后勤支持以及启动双边网络安全行动等。(信息来源:美国防部网站)
(九)欧盟将投资13亿欧元发展人工智能、网络安全和数字技能
3月28日消息,欧盟委员会通过2025至2027年数字欧洲计划,将拨款13亿欧元发展具有战略意义的关键技术,重点涵盖人工智能、云数据、网络安全和数字技能。该计划的优先事项包括:提高生成式人工智能应用的可用性和可访问性,实施《人工智能法案》和部署节能的公共数据空间;支持欧洲数字创新中心,促进欧洲的私营和公共组织广泛采用人工智能;建立地球数字模型,以支持气候适应和灾害风险管理;增强网络韧性,提高海底电缆等基础设施安全性;发展欧盟教育和培训机构的数字技能能力;推动欧盟数字身份钱包和欧洲信托基础设施;发展数字公共服务,促进公共部门转型等。(信息来源:欧盟委员会网站)
(十)欧盟发布《防范联盟战略》,预防和应对新出现的威胁和危机
3月28日消息,欧盟委员会发布《防范联盟战略》,以提高对地缘政治危机、网络安全威胁、外国信息操纵干扰以及自然灾害的预防和应对能力。该战略涉及30项关键行动和一份详细的行动计划,主要包括加强关键设备和材料的储备;增强气候适应能力和水等关键自然资源的可用性;鼓励公众采取切实措施,例如在紧急情况下至少保留72小时的基本物资;建立欧盟危机中心,以提高现有欧盟危机结构之间的整合度;加强军民合作,促进双重用途投资;在欧盟层面制定全面的风险和威胁评估,帮助预防自然灾害或混合威胁等危机;与北约等战略伙伴在军事机动、气候和安全、新兴技术、网络、空间和国防工业方面开展合作等。(信息来源:欧盟委员会)
二、数据前沿快讯
(十一)英国政府将修订《网络安全与弹性法案》,首次将数据中心列为关键基础设施
4月2日消息,英国政府发布网络安全与弹性政策声明,拟于今年修订《网络安全与弹性法案》,对接欧盟NIS2指令加强关键基础设施安全,扩大关键基础设施行业覆盖范围和提高关键基础设施网络安全事件上报标准,并首次将数据中心列为关键基础设施。政策声明还拟加强供应链安全,将上千家托管服务商纳入管控范围,要求遵循网络安全标准,以提高IT基础设施的安全性。新立法还将与英国内政部正在进行的一项意见征询相辅相成,该意见征询提议对英国应对勒索软件攻击的方式进行重大改革,包括禁止公共部门机构支付赎金,并要求所有受害者向政府报告相关事件等。(信息来源:安全内参)
(十二)国家市场监管总局印发《网络交易合规数据报送管理暂行办法》
4月2日,国家市场监管总局印发《网络交易合规数据报送管理暂行办法》(以下简称《办法》),规范网络交易合规数据报送行为,发挥数据在平台经济治理中的关键要素作用,引导平台企业合规经营,提升网络交易监管效能,促进平台经济健康发展。《办法》共二十一条,主要内容包括4个方面:一是明确网络交易合规数据范围。明确为产生于境内的网络交易经营者身份信息、违法行为线索数据、行政执法协查数据、特定商品或者服务交易数据等网络交易监管相关数据。二是规范网络交易合规数据报送行为。明确4类数据的报送时限、报送层级和报送内容。三是规范网络交易合规数据的利用和管理。明确各级市场监管部门可以将网络交易合规数据依法用于监管执法和大数据综合分析应用,应依法保障数据安全并对履职中知悉的数据保密。四是支持政务数据服务与社会共治。明确总局将根据有关规定或标准提供政务数据服务。鼓励社会各方合法利用网络交易合规数据参与网络市场治理。(信息来源:国家市场监督管理总局)
(十三)国家数据局发布《数据领域常用名词解释(第二批)》
3月29日,国家数据局发布《数据领域常用名词解释(第二批)》,对数据产权、数据产权登记、数据持有权、数据使用权、数据经营权、衍生数据、企业数据、数据交易机构、数据场内交易、数据场外交易、数据交易撮合、数据第三方专业服务机构、数据产业、数据标注产业、数字产业集群、可信数据空间、数据使用控制、数据基础设施、算力调度和算力池化等20个数据领域常用名词作出官方释义。(信息来源:国家数据局)
(十四)北京市发布首个数据跨境流动综合性改革方案
3月27日,北京市网信办、北京市商务局、北京市政务服务和数据管理局联合发布《北京市数据跨境流动便利化综合配套改革实施方案》。这是北京出台的首个促进数据跨境流动便利化的综合性配套改革文件。《方案》从政策供给、技术应用、产业促进、安全监管等多个维度,统筹提出了一揽子创新举措。包括建立重点行业领域重要数据识别认定机制;搭建重要数据识别、备案、告知便利化渠道,提升重要数据出境安全评估申报效率,促进一般数据跨境自由流动;加强区块链、隐私计算等可信流通技术推广应用,探索开展个人信息匿名化试点;加快建设“国际数据口岸”,打造数据跨境示范区等。(信息来源:网信北京)
(十五)上海市网信办就《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》公开征求意见
3月31日消息,上海市网信办就《上海市网络数据分类分级和重要数据目录管理办法(征求意见稿)》向社会公开征求意见,意见反馈截止日期为2025年4月28日。《办法》适用于在本市范围内开展的各行业、各领域的网络数据分类分级规则制定、网络数据分类分级实践、重要数据识别处理、网络数据安全保护体系建立等工作及其安全监管行为。《办法》要求,市数据安全工作协调机制负责统筹协调网络数据安全重大事项和重要工作。市网信部门负责统筹协调本市网络数据安全和相关监督管理工作,推进网络数据分类分级和重要数据目录管理。《办法》强调,重要数据处理者应当履行网络数据安全保护责任,明确网络数据安全负责人和网络数据安全管理机构,对重要数据进行重点保护。(信息来源:中国信息安全)
三、网安事件聚焦
(十六)莫斯科地铁售检票系统突发大规模服务中断
3月31日,莫斯科地铁系统突发大规模服务中断,持续超12小时,官方网站及移动应用无法访问,页面一度跳转至乌克兰国家铁路公司的故障提示界面,电子交通卡“三驾马车”远程充值功能全面瘫痪,部分自动售票机及公交验票设备出现交易失败。莫斯科交通局紧急启动人工服务通道,保障实体票卡及线下终端正常运作,截至4月1日移动支付功能尚未完全恢复。俄罗斯联邦通信监管局确认服务异常,但仅以技术问题回应,未明确归因于网络攻击。(信息来源:安全内参)
(十七)研究人员发现银狐新变种突袭我国医疗系统
3月27日消息,网络科技公司火绒收到反馈,浙江地区多家医院外网电脑遭远程控制木马攻击,多人遭不同程度财产损失。调查发现,该木马病毒为银狐新变种,通过钉钉、浙政钉、微信等即时聊天工具对用户进行远控,该变种是一个携带恶意Gh0st后门病毒的QT程序,可将加密的恶意代码以资源的形式嵌入PE文件,当程序执行时,这些恶意代码会被释放并利用RPC和COM等系统特性实现后门的持久化,从而在用户不知情的情况下监控电脑活动,持续收集信息并执行恶意操作,同时攻击者还会利用受控设备建群,进行多次传播。银狐木马家族自2021年出现至今,一直保持高度活跃。火绒公司提醒用户,勿轻信不明来源文件及信息,及时安装安全软件并定期查杀。(信息来源:火绒安全)
(十八)APT组织Lazarus采用ClickFix策略攻击加密货币求职者
3月31日,APT组织Lazarus升级了对加密货币领域求职者的定向攻击策略,采用ClickFix技术实施传染性攻击。该组织冒充Coinbase、Kraken等14家知名加密金融企业,通过虚假职位诱骗求职者访问含恶意代码的面试网站。当受害者尝试录制视频回答面试问题时,网站会弹出虚假系统错误提示,要求用户执行特定操作系统的终端命令以修复摄像头驱动问题。该恶意软件具备窃取谷歌浏览器Cookie、浏览历史、存储密码及系统元数据的能力,并与攻击者控制的C2服务器建立加密通信。Lazarus将攻击目标从技术开发人员扩展至业务开发、市场营销等非技术岗位人员。安全专家建议求职者需严格验证面试邀请来源,避免执行任何未知终端命令。(信息来源:BleepingComputer网)
(十九)美国防承包商NDC及子公司AMTEC遭黑客攻击,其系统被加密
3月31日,美国防承包商NDC及其弹药制造子公司AMTEC遭重大网络攻击事件。暗网泄密组织InterLock宣称,已成功入侵NDC及其关联系统,窃取4200GB敏感数据,包含290余万份文件及45万个文件夹。攻击者通过暗网平台公布部分截图作为佐证,并指出已对AMTEC、Tech Ord及PRESTO系统实施全盘加密。NDC主营军用/警用弹药生产,具备精密组装、炸药装载等核心能力,其子公司AMTEC是全球40毫米榴弹弹药及引信的最大批量供应商。NDC在回应中淡化数据价值,称被盗信息对第三方利用价值有限。(信息来源:启明星辰)
(二十)社交媒体X平台被曝遭遇严重数据泄露,涉及超28亿条个人数据信息
3月29日,社交媒体平台X被曝遭史上最大规模用户数据泄露事件,涉及超28亿用户信息,包含用户ID、账户创建日期、地理位置以及推文历史等动态元数据。这一数据规模远超X平台现有的约3.357亿个用户,因此该泄露数据集除实际活跃用户外可能还包含了被封禁的机器人账户、非活动账户、已合并账户、非用户实体、开发人员机器人等特殊账户。数据泄露论坛Breach Forums知名用户ThinkingOne发布声明称,此次泄露源于X公司裁员期间某员工的不满行为,并提供了包含400GB原始数据的证据。截止目前,X公司尚未就此事作出回应。(信息来源:IT之家)
(二十一)三星德国票务系统因凭证失窃致27万客户数据泄露
3月31日,网络安全公司Hudson Rock披露三星德国票务系统遭重大数据泄露事件,攻击者利用被盗账户凭证窃取约27万条用户记录,包括姓名、地址、邮箱、以及交易记录、订单号、跟踪链接和支持沟通内容等,泄露时间可追溯至2021年。Hudson Rock称,此类信息可被用于精准网络钓鱼攻击、虚假客户支持诈骗、伪造保修索赔及物理盗窃等犯罪活动。攻击者甚至可能运用人工智能技术识别高价值目标,实施定制化欺诈。截至目前,三星尚未就此事作出回应。(信息来源:SecurityWeek网)
(二十二)新兴勒索软件组织声称窃取美电信巨头WOW数百万用户数据
3月28日消息,新兴勒索软件组织Arkana Security声称入侵美电信运营商WideOpenWest,窃取两个分别包含40.3万和220万账户信息的数据库,涉及用户名、密码、电子邮件以及Firebase集成数据等。勒索组织通过Tor泄露网站发布被窃数据截图,并威胁称如不支付赎金,将公开出售数据。WideOpenWest是美国第八大有线电视运营商和互联网服务提供商,为约190万住宅、商业和批发消费者提供服务。网络安全专家指出,此次入侵可追溯到2024年9月。截止目前,WideOpenWest尚未就此次数据泄露事件发表声明。(信息来源:安全内参)
(二十三)黑客组织声称入侵以色列网络安全公司并出售其敏感数据
4月1日,黑客组织CoreInjection声称入侵以色列网络安全公司Check Point的网络,并掌握该公司内部项目文档、用户凭证(含明文密码)、网络架构图、源代码及员工联系信息等核心数据,要求该公司以加密货币支付赎金并通过TOX通讯工具联系,否则将出售数据。Check Point公司强调遭入侵的系统未触及生产环境,受影响组织已修复漏洞但未公开入侵方式、漏洞类型及追责进展。黑客组织CoreInjection自3月15日被发现以来,已多次针对以色列关键基础设施发起攻击。(信息来源:HackRead网)
(二十四)知名医疗信息化服务商因旧服务器遭入侵致美多家医院患者数据泄露
3月28日,知名医疗信息化服务商Oracle Health确认其遗留服务器遭未授权访问,导致多家美医疗机构患者数据泄露。黑客利用泄露的客户凭证于今年1月入侵未迁移至Oracle Cloud的旧版服务器,窃取了可能包含患者电子健康记录在内的敏感信息,并将数据转移至远程服务器,其攻击手法与近期Oracle Cloud联合单点登录服务器遭入侵事件存在潜在关联。名为“安德鲁”的黑客要求Oracle支付数百万美元加密货币以阻止数据公开。尽管Oracle在私密通知中表示只是部分数据受影响,但多个消息源证实其患者信息已被盗。(信息来源:BleepingComputer网)
(二十五)英国医疗服务体系供应商因客户数据泄露遭处罚
3月28日消息,英国信息专员办公室(ICO)对医疗服务体系(NHS)的一家软件供应商OneAdvanced处以300万英镑罚款,由于该供应商存在安全漏洞,导致NHS的79404名患者个人敏感信息遭泄露,包括电话号码、医疗记录以及约890名接受居家护理患者住所信息等。此次数据泄露事件发生于2022年8月,攻击者利用一个未启用多因素认证的客户账号,成功获取患者敏感数据。该事件严重影响了NHS非紧急医疗求助电话111等关键服务,医护人员无法访问患者病历,患者登记系统也受到干扰。(信息来源:安全内参)
四、网安风险警示
(二十六)文件传输服务器软件CrushFTP存在身份验证绕过漏洞
3月31日消息,奇安信CERT监测到官方修复CrushFTP身份验证绕过漏洞CVE-2025-2825(CVSS评分9.8),该漏洞源于处理身份验证标头不当,攻击者可绕过认证机制获取管理员权限,窃取敏感信息、篡改数据或执行其他恶意操作。CrushFTP是由CrushFTP LLC开发的文件传输服务器软件,允许用户通过多种协议(如FTP、SFTP、HTTP、WebDAV等)安全地上传、下载和管理文件,被广泛用于企业、教育机构和个人用户之间安全地传输文件。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十七)Ingress NGINX控制器存在远程代码执行漏洞
3月27日消息,奇安信CERT监测到官方修复Ingress NGINX Controller远程代码执行漏洞CVE-2025-1974(CVSS评分9.8),该漏洞源于Ingress NGINX Controller没有充分验证Ingress配置,攻击者可伪造AdmissionReview请求加载恶意共享库执行任意代码,访问Kubernetes集群敏感信息,甚至完全控制集群。Ingress NGINX是Kubernetes官方维护的Ingress控制器,支持负载均衡、TLS终止、路径重写等特性,是Kubernetes生态中应用最广泛的入口流量管理组件之一。鉴于该漏洞影响范围较大,建议用户尽快做好自查及防护。(信息来源:奇安信CERT)
(二十八)美CISA将思科智能许可漏洞列入被利用目录并明确修复期限
3月31日,美网络安全与基础设施安全局(CISA)将思科智能许可工具的两个高危漏洞CVE-2024-20439和CVE-2024-20440列入已知被利用漏洞目录,要求联邦机构在4月21日前完成修复。CVE-2024-20439为静态凭证后门,攻击者可利用预设管理员账户无验证登录系统;CVE-2024-20440为信息泄露漏洞,通过构造HTTP请求可获取含敏感数据的调试日志,包括API访问凭证。安全专家称上述两个漏洞存在关联,即后门凭证可直接访问日志文件,而过度记录的日志又暴露更多系统信息。(信息来源:SecurityAffairs网)
(二十九)关于谷歌Chrome浏览器存在沙箱逃逸漏洞的安全公告
3月28日,国家信息安全漏洞共享平台(CNVD)收录了谷歌Chrome沙箱逃逸漏洞(CVE-2025-2783)。由于Chrome沙箱机制与Windows操作系统内核交互时存在逻辑错误缺陷,未经授权的攻击者可在远程条件下,利用该漏洞绕过Chrome的沙箱保护机制,从而实现对目标主机的管理权限控制。Chrome是一款由谷歌公司开发的网页浏览器,支持多标签页浏览,每个标签页都在独立的沙箱内运行,提升了Chrome整体的稳定性和安全性。目前,谷歌已修复上述漏洞,建议受影响用户尽快升级版本。(信息来源:CNVD漏洞平台)
(三十)现代化前端开发构建工具Vite存在任意文件读取漏洞
3月27日消息,奇安信CERT监测到官方修复Vite任意文件读取漏洞CVE-2025-30208(CVSS评分7.5),该漏洞源于Vite开发服务器在处理特定URL请求时,未对请求路径进行严格安全检查和限制,攻击者可利用该漏洞绕过保护机制,获取源码、SSH密钥、数据库账号、用户数据等敏感信息甚至非法访问项目根目录外的敏感文件。Vite是一款现代化的前端开发构建工具,提供快速开发服务器和高效的构建能力,广泛应用于Vue.js项目开发过程中。鉴于该漏洞影响范围较大,建议用户尽快更新。(信息来源:奇安信CERT)
