一、监管部门动向

工信部：关于侵害用户权益行为的 （SDK）通报（2023 年第 7 批，总第 33 批）

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展 侵害用户权益专项整治行动。近期，我部组织第三方检测机构对群众关注的实用工具、在线影音等移动互联网应用程序 及第三方软件开发工具包（SDK）进行检查。发现 13 款 、SDK 存在侵害用户权益行为。

《信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求》

GB/T 43435-2023 国家标准《信息安全技术 移动互联网应用程序（App）软件开发工具包（SDK）安全要求》由 TC260（全国信息安全标准化技术委员会）归口，主管部门为国家标准化管理委员会。已与 2023 年 11 月 27 日发布，起草单位为爱加密、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院等机构。后续爱加密将为大家带来改标准的详细解读。

国务院：《支持北京深化国家服务业扩大开放综合示范区建设工作方案》

国务院于 11 月 23 日批复本方案，文中（二）探索新兴业态规则规范 中提出推动建设数据跨境服务中心与技术服务平台，探索提供安全治理、监测审计、体系认证等全链条第三方服务。支持设立跨国机构数据流通服务窗口，以合规服务方式优先实现集团内数据安全合规跨境传输。

工信部：《工业和信息化领域数据安全行政处罚裁量指引（试行）》

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展，工信部研究起草了《工业和信息化领域数据安全行政处罚裁量指引（试行）》。

北京高院：《侵犯公民个人信息犯罪审判白皮书》

2023 年 11 月 15 日，北京高级人民法院发布了《侵犯公民个人信息犯罪审判白皮书》。随着信息技术的高速发展，个人信息的安全问题得到了社会的广泛关注，据统计，白皮书中透露有近三分之一的案件涉案公民个人信息来源于技术窃取。

二、安全新闻

东亚地区出现新一轮恶意应用程序攻击

现针对印度用户的新一轮网络钓鱼攻击活动。攻击者利用社交媒体平台发送消息，引导安装收集敏感数据的欺诈性应用程序，窃取银行密码等信息。

中国台湾大江生医集团暗网泄露 236.3GB 数据

大江生医股份有限公司是中国台湾地区的企业，全球 500 强上市公司，成立于 0 年，是一家生物整合设计公司，集团下设有四大生产中心，分别坐落在中国台湾、中国上海，以及美国、日本。目前有大江生医、上海百岳特、大江生活、光腾新药、和康生技、沛富生技等多家子公司。

Optus 母公司新加坡电信否认对网络中断负责

11 月 8 日（当地时间周三），澳大利亚第二大电信公司澳都斯（Optu

丹麦 CERT 报告全面分析针对该国基础设施的最大规模网络攻击

丹麦非营利性网络安全组织 SektorCERT 近日发布题为《针对丹麦关键基础设施的攻击》的分析报告，全面分析和总结了 2023 年 5 月针对丹麦关键基础设施的广泛网络攻击，并指出具有俄罗斯官方背景的黑客组织 ” 沙虫 ” 可能参与了此次攻击。

韩国软件公司泄露超过 5000 万条敏感信息

IP、用户代理和访问内部工具的 URL 等。这些类型的泄漏尤其有价值，因为它们会泄露大量内部信息，让攻击者能够更好地了解目标和伪造身份。

三、最新漏洞播报

Intel 披露 Reptar 安全漏洞，可绕过 CPU 安全边界

近日，Intel 修复了其现代台式机、服务器、移动和嵌入式 CPU 中的一个 CPU 漏洞。攻击者可以利用 CVE-2023-23583 漏洞提升权限、访问敏感信息或触发拒绝服务状态。

Microsoft 发布 2023 年 11 月安全更新

1 月 15 日，微软发布了 2023 年 11 月份的月度例行安全公告，修复了多款产品存在的 63 个安全漏洞，影响产品包括 Windows11、Windows10、Windows Server 2022、Windows Server 2008 和 Microsoft Office 等。

Adobe FrameMaker 安全漏洞（CNNVD-202311-1570）

Adobe FrameMaker 是美国奥多比（Adobe）公司的一套用于编辑大型或复杂文档（包括结构化文档）的页面排版软件。Adobe FrameMaker 2022 版本及之前版本存在安全漏洞，该漏洞源于身份验证不正确。攻击者利用该漏洞可以绕过安全检查功能。目前厂商已发布升级补丁以修复漏洞。

Microsoft Host Integration Server 安全漏洞 （CNNVD-202311-1065）

Microsoft Host Integration Server 是微软的一个网关应用程序，提供 Microsoft Windows 网络与 IBM 大型机和 IBMi 系统之间的连接。提供了对 SNA，3270、5250，CICS，C 和其他 IBM 协议的支持。Microsoft Host Integration Server 存在安全漏洞。攻击者利用该漏洞可以远程执行代码。目前厂商已发布升级补丁以修复漏洞。

Intel One Boot Flash Utility 安全漏洞（CNNVD-202311-1171）

Intel One Boot Flash Utility 是英特尔的一种用于更新系统的 BIOS、BMC、SDR、FRU 的程序。Intel One Boot Flash Utility 14.1.31 之前版本存在安全漏洞。攻击者利用该漏洞可以提升权限。厂商已发布升级补丁以修复漏洞。

四、存量漏洞统计

爱加密长期基于安全检测引擎，对应用进行 107 项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中查看整体情况、恶意软件情况、历史通报情况等信息。11 月 13 日 -11 月 26 日期间安卓、iOS 端 TOP10 风险漏洞如下：

安卓应用高危漏洞占比约 17%，各应用开发企业应提高安全防护意识，解决漏洞问题，提高应用安全能力。作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术，从行业实践角度着手大力推动我国移动应用个人信息安全保护生态的良好发展。