网络空间安全动态(202512期)
编者按:网安动向热讯,本期有九点值得关注:一是工业和信息化部办公厅印发2025年工业和信息化标准工作要点;二是6项网络安全国家标准获批发布;三是全国网安标委发布《网络安全标准实践指南—移动互联网未成年人模式技术要求》;四是特朗普政府发布两份新的人工智能备忘录,为各机构在政府中使用和采购人工智能提供指导;五是美国防部提出2035年实现武器系统零信任网络安全目标;六是美国家安全局局长兼网络司令部司令蒂莫西·霍被解除职务;七是美NIST发布《网络安全风险管理的事件响应建议和注意事项:CSF 2.0社区概况》;八是欧盟发布《保护欧盟:欧洲内部安全战略》;九是日本政府宣布对十余种半导体相关物项实施出口管制。
数据前沿快讯,本期有五点值得关注:一是国家数据局将首度开展可信数据空间试点;二是六部门联合印发《促进和规范金融业数据跨境流动合规指南》;三是《合肥数据标注产业发展规划(2025—2027年)》发布,推进数据标注产业与人工智能协同发展;四是美国对中国等“受关注国家”关闭核心生物医学数据库;五是英ICO发布匿名化指南,旨在通过有效匿名化技术平衡数据利用与隐私保护。
网安事件聚焦,本期有两方面内容建议关注:一是多国政府部门及国家关键基础设施遭到多频次的网络攻击,这些攻击带有明显的政治、军事或情报搜集目的。本期介绍:以美为首的境外组织对哈尔滨亚冬会赛事信息系统发起超27万次网络攻击;乌克兰政府机构遭新型“Wrecksteel”恶意软件攻击;波兰总理称其政党疑遭俄罗斯黑客组织攻击;巴尔的摩市政厅遭网络攻击,黑客利用Starlink IP转移百万美元资金;新加坡星展银行与中国银行(新加坡分行)约1.1万名客户资料疑似被盗。二是大量敏感数据的泄露不仅严重威胁到个人隐私,还可能导致企业面临诉讼,进而显著增加运营成本。本期介绍:英国皇家邮政集团144GB敏感信息遭泄露;澳大利亚最大养老保障基金系统遭黑客攻击,超万个账户信息被泄露;甲骨文公司因泄露数百万用户云数据遭集体诉讼。
网安风险警示,本期有五点建议关注:一是多国网络安全机构联合发布《快速通量:国家安全威胁》的全球性安全警报;二是开源数据文件格式Apache Parquet中存在满分漏洞;三是美CISA将Apache Tomcat漏洞CVE-2025-24813列入被利用目录;四是Windows版WhatsApp存在高危漏洞;五是苹果修复三个已被黑客利用的零日漏洞。
一、网安动向热讯
(一)国家发展改革委就《中华人民共和国卫星导航条例(公开征求意见稿)》公开征求意见
4月3日,国家发展改革委就《中华人民共和国卫星导航条例(公开征求意见稿)》公开征求意见,征求意见时间为4月3日至5月2日。征求意见稿指出,北斗卫星导航系统是我国建设运行的卫星导航系统,是国家重要空间基础设施;卫星导航增强系统是用于提高卫星导航服务精度、完好性、连续性和可用性等性能的天基或陆基系统。为促进我国北斗卫星导航系统、增强系统科学持续发展,确保其安全稳定运行,征求意见稿明确系统建设要求,规定系统建设符合建设规划和政策,履行审批、核准或备案等程序,符合无线电管理、网络安全等相关要求;明确系统稳定运行要求,规定建立稳定运行机制、发布系统运行信息、开展监测评估等。(信息来源:国家发展改革委)
(二)工业和信息化部办公厅印发2025年工业和信息化标准工作要点
4月8日,工业和信息化部办公厅印发2025年工业和信息化标准工作要点(以下简称《工作要点》),提出今年将围绕健全构建现代化产业体系,实施《新产业标准化领航工程实施方案(2023—2035年)》,持续完善新兴产业标准体系建设,前瞻布局未来产业标准研究,制定行业标准1800项以上,组建5个以上新兴产业和未来产业标准化技术组织。围绕筑牢产业发展安全底线,编制工业和信息化强制性国家标准体系建设指南,组织编制强制性国家标准100项以上。围绕推动产业全球化发展,支持100项以上由我国企事业单位牵头制定的国际标准,全行业国际标准转化率达到88%。提升行业治理能力现代化水平,为推进新型工业化,加快建设制造强国和网络强国提供坚强保障。《工作要点》对新兴产业标准建设工作进行了明确部署,提出优化完善云计算、大数据、区块链、北斗导航等新一代信息技术标准,统筹推进新一代信息技术基础通用、关键技术、产品服务、行业应用、安全治理等标准制定,助力突破一批面向融合应用的新一代信息技术应用产品。加快构建新型信息基础设施标准体系,推进5G-A、低空信息基础设施、6G、量子保密通信等标准研究。(信息来源:工信微报)
(三)6项网络安全国家标准获批发布
4月9日,根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2025年第6号),全国网络安全标准化技术委员会归口的6项国家标准正式发布。具体为:《网络安全技术 运维安全管理产品技术规范》(GB/T 45409-2025)、《数据安全技术 数据安全评估机构能力要求》(GB/T 45389-2025)、《数据安全技术 基于个人信息的自动化决策安全要求》(GB/T 45392-2025)、《数据安全技术 政务数据处理安全要求》(GB/T 45396-2025)、《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》(GB/T 45404-2025)和《网络关键设备安全技术要求可编程逻辑控制器(PLC)》(GB/T 45406-2025),以上标准均自2025年10月1日起施行。(信息来源:全国网安标委)
(四)全国网安标委发布《网络安全标准实践指南—移动互联网未成年人模式技术要求》
4月2日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南—移动互联网未成年人模式技术要求》。该指南规定了移动互联网未成年人模式的技术要求,适用于移动互联网应用程序提供者、移动智能终端制造商和移动互联网应用程序分发平台提供者开展未成年人模式的研发和应用,也可为监管部门、第三方评估机构对未成年人网络保护的监督、管理、评估提供参考。(信息来源:全国网安标委)
(五)特朗普政府发布两份新的人工智能备忘录,为各机构在政府中使用和采购人工智能提供指导
4月3日,美白宫管理和预算办公室发布两份备忘录,为各机构在政府中采购和使用人工智能提供指导。两份备忘录根据特朗普第14179号行政命令“消除美国在人工智能领域领导地位的障碍”指示制定。第一份新备忘录为“关于通过创新、治理和公众信任加速联邦对人工智能的使用”(M-25-21),取代了拜登时期关于“推进机构使用人工智能的治理、创新和风险管理”的备忘录(M-24-10)。该备忘录指出,在加速美联邦对人工智能使用的过程中,各机构需专注于三个优先事项:创新、治理和公众信任。第二份备忘录为“关于推动政府高效利用人工智能”(M-25-22),取代了拜登时期关于“推动政府负责任地采购人工智能”的备忘录(M-24-18)。该备忘录延续了前任文件中对竞争性人工智能市场优势、追踪人工智能性能及管理风险以及跨职能协作的重视,但新增了旨在“最大化”利用美国本土开发的人工智能技术的表述。(信息来源:FedScoop网站)
(六)美国防部提出2035年实现武器系统零信任网络安全目标
4月4日消息,美国防部零信任办公室主任兰迪·雷斯涅克披露,美国防部计划以2035年为节点,在战斗机、坦克、舰船等武器系统中全面部署零信任架构。根据美国防授权法案,美国防部需要重点关注信息技术(IT)、运营技术(OT)和武器系统的零信任架构实施,其中武器系统是最后一个实现零信任的领域。美国防部计划在2027财年结束前实现全部门IT系统零信任;鉴于针对关键基础设施的对抗性攻击增加,现正将重点转向实现OT零信任,计划于今年10月前发布OT零信任官方指南,到2030年全面实施OT零信任架构;计划利用OT零信任经验为武器系统零信任提供指导,在2035年前实现武器系统的零信任架构。(信息来源:安全内参)
(七)美国家安全局局长兼网络司令部司令蒂莫西·霍被解除职务
4月3日,美国家安全局局长蒂莫西·霍和副局长被解除职务。美网络司令部副司令威廉·哈特曼被任命为美国国家安全局代理局长;该局执行主任希拉·托马斯被任命为代理副局长。蒂莫西·霍被解除职务前也是美网络司令部负责人。美国家安全局隶属于美国防部,是美国最重要的情报机构之一。美网络司令部则负责执行进攻性和防御性网络行动,同时监控国防部的网络安全。外媒称,此举可能对美间谍情报和网络作战工作产生持久影响。目前,官方尚未对此消息作出回应。(信息来源:央视新闻)
(八)美NIST发布《网络安全风险管理的事件响应建议和注意事项:CSF 2.0社区概况》
4月3日,美国家标准与技术研究院(NIST)发布特别出版物SP 800-61 Rev.3《网络安全风险管理的事件响应建议和注意事项:CSF 2.0社区概况》。该出版物全面修订了网络安全事件响应框架,与NIST网络安全框架(CSF)2.0相衔接,旨在帮助各类组织将事件响应纳入网络安全风险管理体系。此版本详细介绍了新的事件响应生命周期模型,强调治理、识别、保护、检测、响应和恢复六大功能在事件响应中的协同作用。NIST建议组织根据自身情况制定网络安全事件响应政策。(信息来源:美NIST网站)
(九)欧盟发布《保护欧盟:欧洲内部安全战略》
4月2日消息,欧盟委员会发布《保护欧盟:欧洲内部安全战略》(以下简称《战略》),旨在通过系统性改革提升欧盟及其成员国的安全能力,以应对日益复杂的内部安全威胁。该战略是对《防范联盟战略》和《欧洲防务白皮书》的补充,与即将出台的《欧洲民主盾》共同构成“安全、有保障、有韧性”的欧盟综合框架。《战略》主要目标和行动包括升级内部安全治理、强化情报共享和威胁预警能力、强化执法工具、抵御混合威胁、打击有组织的犯罪、提升欧盟全球安全角色等。(信息来源:欧盟委员会网站)
(十)德国出台《技术主权研究与创新框架计划》
4月2日消息,德国联邦教育与研究部发布《技术主权研究与创新框架计划2030》,明确了德国至2030年发展和确保关键技术主权的主要目标和行动领域。具体而言,计划提出了确保技术主权的八大关键数字技术领域、四大关键工业技术领域、四大技术转移和创新领域、四大跨领域主题。其中,八大关键数字技术领域分别为:人工智能、软件工程、微电子、高性能计算、通信系统、网络安全、量子技术和光子学;四大关键工业技术领域分别为:先进材料、电池、机器人和工业4.0;四大技术转移和创新领域分别为:支持技术转移、推动颠覆性创新、构建未来价值创造方式和保障公民安全;四大跨领域主题分别为:加强环境和气候适应性、培养专业人才和青年科技人才、布局欧洲和国际合作、参与规范和标准制定。(信息来源:安全内参)
(十一)日本政府宣布对十余种半导体相关物项实施出口管制
4月3日,日本政府宣布对十余种半导体相关物项实施出口管制,涵盖了部分COMS集成电路、GAAFET技术与量子计算机等。中国商务部新闻发言人就此事作出回应,称半导体产业是高度全球化的领域,一段时间以来,个别国家泛化国家安全概念,滥用出口管制措施,对中国半导体等产业实施制裁打压,严重威胁全球半导体产业链供应链稳定,中方对此坚决反对。(信息来源:央广网)
二、数据前沿快讯
(十二)国家数据局将首度开展可信数据空间试点
4月8日,国家数据局将首度开展企业、行业、城市三类可信数据空间试点,以多元主体协同共创数据价值为牵引,促进数据高效流通。企业可信数据空间试点,将形成以龙头企业为主导、上下游企业协同转型的数据流通利用体系。行业可信数据空间试点,重点面向新材料、科技、能源、物流、医疗等行业,将构建高价值行业数据库、知识库、模型库。城市可信数据空间试点,将推动公共数据、企业数据和个人数据融合应用,打造一批创新性的数据产品和服务。可信数据空间是指基于共识规则,联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施。国家数据局还提出,引导数据开发、数据经纪、数据托管等新型第三方服务机构接入数据空间。(信息来源:环球网)
(十三)六部门联合印发《促进和规范金融业数据跨境流动合规指南》
4月3日消息,中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局六部门联合印发《促进和规范金融业数据跨境流动合规指南》(以下简称《指南》)。《指南》重点围绕个人信息和重要数据出境问题,给予金融业数据跨境流动规则清晰完整说明。业内专家解释,在规范数据跨境流动需遵循“确需”原则,即在保障相关跨境业务顺利开展的同时,避免金融从业机构因为自由裁量权过大而造成数据违规出境,从源头治理潜在风险隐患。对于一些无法免于数据跨境流动相关合规义务,但基于实际情况又存在数据出境需求的场景,《指南》还梳理形成常见61项金融业务场景,连同可免于相关合规义务的活动情形,作为中央金融管理部门认可的具有出境必要性的108项金融业务场景。(信息来源:金融时报)
(十四)《合肥数据标注产业发展规划(2025—2027年)》发布,推进数据标注产业与人工智能协同发展
4月3日消息,我国首个数据标注产业专项规划—《合肥数据标注产业发展规划(2025—2027年)》(以下简称《规划》)发布。《规划》提出,力争到2027年底,合肥市多语种标注和语音标注能力达到国际领先水平,围绕“人工智能+”和“数据要素×”重点行业,标注数据规模达3000TB,构建11个以上行业高质量数据集,拉动标注产业规模达30亿元,支撑相关产业规模超千亿,打造国际上有特色、有影响力的数据标注基地。下一步,合肥将充分发挥区域优势,实现以合肥为总部基地,覆盖全省、服务长三角,推动形成数据标注产业与国家人工智能重大生产力协同发展的格局。(信息来源:国家数据局)
(十五)美国对中国等“受关注国家”关闭核心生物医学数据库
4月2日,美国立卫生研究院(NIH)主任办公室发布《实施更新:增强NIH受控访问数据的安全措施》文件,称自2025年4月4日起,NIH将禁止位于“受关注国家”的机构访问NIH受控访问数据存储库及其相关数据。这些受关注国家包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉,这与第14117号行政令和28 CFR第202部分“防止受关注国家或受保护人员获取美国敏感个人数据和政府相关数据”的规定一致。NIH是全球最大的生物医学研究机构,受控访问数据存储库和相关数据包括了“人类基因型-表型数据库”平台dbGaP、用于大规模基因数据分析的云平台AnVIL等关键数据平台,这些平台拥有全球最核心的人类基因组、表型信息和疾病研究数据,是全球研究人员长期以来高度依赖的数据库。(信息来源:第一财经)
(十六)英ICO发布匿名化指南,旨在通过有效匿名化技术平衡数据利用与隐私保护
4月2日消息,英国信息专员办公室(ICO)发布匿名化指南,旨在帮助组织通过有效匿名化技术平衡数据利用与隐私保护,确保个人数据在共享、发布或再利用时符合数据保护法(包括英国《通用数据保护条例》《2018年数据保护法》)。本指南阐释了匿名化与假名化的定义;阐述了这些处理方式如何影响组织的数据保护义务与责任;探讨了在进行个人数据匿名化时需考虑的因素;提供了关于个人数据匿名化的最佳实践建议,并讨论了技术和组织措施,旨在帮助组织更深入地理解匿名化技术以及该技术在特定情境下的适用性。(信息来源:英国ICO网站)
三、网安事件聚焦
(十七)以美为首的境外组织对哈尔滨亚冬会赛事信息系统发起超27万次网络攻击
4月3日,国家计算机病毒应急处理中心计算机病毒防治技术国家工程实验室发布“2025年哈尔滨第九届亚冬会”赛事信息系统及黑龙江省内关键信息基础设施遭境外网络攻击情况监测分析报告。报告显示,自2025年1月26日至2月14日期间,亚冬会赛事信息系统遭到来自境外的网络攻击270167次。被识别出攻击中,来自美国的攻击次数占比高达63.24%,其次是新加坡、荷兰、德国、韩国等国家和地区。此外,1月31日至2月14日期间,黑龙江省域范围内的关键网络基础设施也遭到来自境外的大量网络攻击,攻击源大部分来自美国及盟友国家。网络安全保障团队对攻击来源进行详细分析回溯,综合网络攻击源头的手法、工具、时间、语言等行为特征,高度怀疑这些网络攻击具有美国政府支持的背景。(信息来源:环球时报)
(十八)乌克兰政府机构遭新型“Wrecksteel”恶意软件攻击
4月1日,乌克兰计算机应急响应小组(CERT-UA)披露,黑客组织UAC-0219使用新型“Wrecksteel”恶意软件对乌克兰政府机构和关键基础设施发起至少三起网络攻击。黑客通过钓鱼邮件传播恶意链接,利用DropMeFiles和Google Drive等公共文件共享服务投放恶意载荷,窃取文本文档、PDF、图像等文件,并截取受感染设备的屏幕截图。CERT-UA未明确归因,但分析指出此类针对乌克兰的网络间谍活动多与俄罗斯有关。(信息来源:CERT-UA官网)
(十九)波兰总理称其政党疑遭俄罗斯黑客组织攻击
4月3日消息,波兰总理唐纳德·图斯克公开表示其所属政党公民纲领党遭到大规模网络攻击。此次攻击针对政党办公室员工和选举工作人员的电脑系统,攻击者可能试图窃取敏感数据或利用受感染设备传播虚假信息。初步调查显示攻击可能来自与俄罗斯和白俄罗斯有关的黑客组织,意图干预即将于5月举行的波兰总统大选。波兰数字事务部长克日什托夫·加夫科夫斯基称波兰已成为欧盟遭受网络攻击最频繁的国家,约90%的攻击溯源至俄罗斯。波兰政府已将此次攻击定性为“严重威胁”,并启动紧急响应机制。(信息来源:TheRecord网)
(二十)巴尔的摩市政厅遭网络攻击,黑客利用Starlink IP转移百万美元资金
4月7日消息,美国巴尔的摩市政厅遭网络攻击,造成超过150万美元资金损失。攻击者冒充市政承包商员工,利用伪造的作废支票和税号等文件获取信任后,篡改了市政支付系统的银行账户信息。调查显示,攻击者使用Starlink卫星网络注册的IP地址,成功规避了基于地理位置的防护系统。尽管市政当局及时冻结了第二笔72.1万美元的转账,但此前已支付的80.3万美元资金无法追回。美当局正计划引入自动通知系统等新控制措施,并要求合作企业定期核查系统信息。(信息来源:SecurityLab网)
(二十一)新加坡星展银行与中国银行(新加坡分行)约1.1万名客户资料疑似被盗
4月8日消息,新加坡网络安全局与金融管理局发布联合公告,称星展银行与中国银行(新加坡分行)的印刷供应商Toppan Next Tech(TNT)遭勒索软件攻击,约1.1万名客户资料疑似被窃取,包括客户姓名、地址,以及相关贷款账户等,但登录凭证、密码、身份证号码、存款余额或客户总资产等敏感信息未受影响。TNT负责为上述两家银行部分客户打印和分发账单与信函。星展银行初步调查显示,约8200名客户的账单和信函可能泄露,大部分涉及星展唯高达账户,其余主要为Cashline贷款账户。中国银行(新加坡分行)在声明中指出,攻击事件影响约3000名客户。两家银行均表示,系统并未遭入侵,客户存款和资金依然安全。(信息来源:新加坡金融管理局)
(二十二)英国皇家邮政集团144GB敏感信息遭泄露
4月2日消息,英国皇家邮政集团疑遭重大数据泄露,涉及144GB的内部文件、客户信息和营销数据。网络犯罪论坛Breach Forum用户“GHNA”上传了包含293个文件夹和16549个文件的数据包。泄露数据涵盖客户个人身份信息、内部通信记录、运营数据及营销基础设施等信息,并声称上述数据是通过皇家邮政供应商Spectos获取。皇家邮政已证实此次泄露事件。截至目前,Spectos尚未发表公开声明。(信息来源:FreeBuf网)
(二十三)澳大利亚最大养老保障基金系统遭黑客攻击,超2万个账户信息被泄露
4月7日消息,黑客组织针对澳大利亚主要养老金基金发起攻击,盗取了部分会员的储蓄,并泄露超2万个账户的信息。澳网络安全部门表示,已得知黑客组织正在攻击该国4.2万亿澳元退休储蓄领域的账户,政府正与监管机构及企业合作进行应对。澳退休金基金协会透露,超级澳大利亚、澳大利亚退休信托、Rest、Insignia和Hostplus等基金均确认数据遭泄露。超级澳大利亚是该国最大基金,管理着3650亿澳元资产,服务350万会员,该基金表示,最多有600个会员密码被盗,可能被用于访问账户并进行欺诈行为。澳大利亚退休信托管理着3000亿澳元资产,服务240万会员,该基金表示已发现涉及数百账户的异常登录活动。澳总理表示,已接到黑客攻击的报告,政府将会作出回应。(信息来源:路透社)
(二十四)甲骨文公司因泄露数百万用户云数据遭集体诉讼
4月2日消息,佛罗里达州的Shamis & Gentile律师事务所代表原告Michael Toikach及一百多名受害者,对甲骨文公司(Oracle)提起诉讼。原告方指控Oracle泄露其个人身份信息和健康信息,称此次数据泄露将使他们在未来数年内持续面临身份盗窃和欺诈的风险。目前,黑客在论坛发帖威胁将公布全部受影响企业名单,并声称付费即可将其记录从泄露数据中删除。此次集体诉讼要求Oracle支付赔偿金、提供信用监控服务,并改革其数据安全基础设施。目前Oracle尚未向法院提交答辩状。(信息来源:FreeBuf网)
四、网安风险警示
(二十五)多国网络安全机构联合发布《快速通量:国家安全威胁》的全球性安全警报
4月3日,美国家安全局、网络安全与基础设施安全局(CISA)、联邦调查局联合澳大利亚、加拿大、新西兰等五眼联盟成员国的网络安全机构,联合发布名为《快速通量:国家安全威胁》的全球性安全警报。报告指出,快速通量(Fast Flux)技术正被恶意行为者广泛用于规避网络防御,威胁关键基础设施和国家安全。该技术通过动态篡改域名系统记录,使攻击者能够隐藏恶意服务器位置,维持持久化控制,并大幅提升攻击活动的隐蔽性与弹性。报告强调,快速通量已被勒索软件团伙、国家级黑客组织及网络犯罪论坛大规模采用,尤其在针对能源、金融、医疗和政府系统的攻击中表现突出。(信息来源:美CISA网站)
(二十六)开源数据文件格式Apache Parquet中存在满分漏洞
4月2日消息,开源数据文件格式Apache Parquet中存在严重的任意代码执行漏洞CVE-2025-30065(CVSS评分10)。该漏洞位于Apache Parquet Java库中的parquet-avro模块,影响Apache Parquet Java 1.15.0及之前版本。当从Parquet文件元数据中读取Avro结构时,可允许任意代码执行,导致攻击者完全控制受影响系统、窃取敏感数据、安装恶意软件甚至破坏服务。Apache Parquet为有效存储和检索数据而设计,适用于批量处理复杂数据,支持多种编程语言和分析工具。建议用户尽快升级至1.15.1版本。(信息来源:代码卫士)
(二十七)美CISA将Apache Tomcat漏洞CVE-2025-24813列入被利用目录
4月1日消息,美CISA已将Apache Tomcat的关键远程代码执行漏洞CVE-2025-24813(CVSS评分9.8)列入已知被利用漏洞目录,并要求所有联邦机构在4月22日前完成修补。该漏洞源于Tomcat处理部分PUT请求时的错误配置和危险默认设置。在特定情况下,攻击者无需认证即可上传并执行任意代码,可能导致大量Web服务器面临风险。Apache Tomcat是一个开源的、轻量级的Java Servlet容器和Web服务器。Apache已发布修复版本,建议用户立即升级。(信息来源:美CISA网站)
(二十八)Windows版WhatsApp存在高危漏洞
4月8日消息,Windows版WhatsApp Desktop(2.2450.6之前所有版本)存在高危漏洞(CVE-2025-30401)。该漏洞源于应用程序根据MIME类型显示文件,但系统却按实际扩展名(如.exe)执行文件,导致用户可能误打开伪装成图片的可执行文件。攻击者可利用文件附件MIME类型与扩展名验证不一致的缺陷执行任意代码。建议用户立即升级至2.2450.6或更高版本。(信息来源:CyberSecurityNews网)
(二十九)苹果修复三个已被黑客利用的零日漏洞
4月3日消息,苹果公司在iOS/iPadOS 16.7.11以及15.8.4更新中,修复三个已被利用的零日漏洞。首个漏洞CVE-2025-24200属于授权缺陷,攻击者可通过物理接触绕过已锁定设备的USB限制模式。第二个漏洞CVE-2025-24201存在于WebKit引擎,攻击者制作恶意网页内容可突破沙箱隔离。第三个漏洞是旧设备上的Core Media框架提权漏洞CVE-2025-24085,该框架负责管理苹果产品的音视频播放功能。苹果已陆续向旧版操作系统反向移植安全补丁,覆盖iOS 15.8.4至18.3.2等多代版本,建议用户尽快升级。(信息来源:FreeBuf网)
