6、澳洲航空曝史詩級(jí)數(shù)據(jù)泄露，600 萬乘客信息遭黑手！

一周政策要聞

三部門聯(lián)合印發(fā)《關(guān)于進(jìn)一步加強(qiáng)醫(yī)療機(jī)構(gòu)電子病歷信息使用管理的通知》

6月30日，國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局三部門聯(lián)合印發(fā)《關(guān)于進(jìn)一步加強(qiáng)醫(yī)療機(jī)構(gòu)電子病歷信息使用管理的通知》（以下簡(jiǎn)稱《通知》），明確加強(qiáng)醫(yī)療機(jī)構(gòu)內(nèi)部管理、規(guī)范電子病歷信息使用和強(qiáng)化衛(wèi)生健康行政部門監(jiān)管等要求，旨在通過壓實(shí)醫(yī)療機(jī)構(gòu)主體責(zé)任，強(qiáng)化監(jiān)管措施，進(jìn)一步保障患者醫(yī)療信息和醫(yī)療質(zhì)量安全。

《通知》主要內(nèi)容涉及三個(gè)方面：

（一）加強(qiáng)醫(yī)療機(jī)構(gòu)內(nèi)部管理。明確電子病歷范圍，壓實(shí)醫(yī)療機(jī)構(gòu)主體責(zé)任，保護(hù)患者隱私，建立分級(jí)訪問權(quán)限和長(zhǎng)效監(jiān)管機(jī)制，并納入績(jī)效評(píng)價(jià)。

（二）規(guī)范電子病歷信息使用。嚴(yán)格管控信息訪問與使用行為，確保權(quán)限匹配，簽訂保密協(xié)議，采用技術(shù)手段實(shí)現(xiàn)全流程可追溯和數(shù)據(jù)安全防護(hù)。

（三）強(qiáng)化衛(wèi)生健康行政部門監(jiān)管。地方衛(wèi)生健康部門加強(qiáng)指導(dǎo)與評(píng)估，將電子病歷規(guī)范使用納入醫(yī)院評(píng)審、巡查及智慧醫(yī)院建設(shè)等評(píng)估標(biāo)準(zhǔn)。

2025年護(hù)航新型工業(yè)化網(wǎng)絡(luò)安全專項(xiàng)行動(dòng)啟動(dòng)

為深入學(xué)習(xí)貫徹習(xí)近平總書記關(guān)于新型工業(yè)化的重要論述，全面貫徹落實(shí)中央經(jīng)濟(jì)工作會(huì)議精神和全國新型工業(yè)化推進(jìn)大會(huì)部署，扎實(shí)推進(jìn)2025年護(hù)航新型工業(yè)化網(wǎng)絡(luò)安全專項(xiàng)行動(dòng)，工業(yè)和信息化部印發(fā)《2025年護(hù)航新型工業(yè)化網(wǎng)絡(luò)安全專項(xiàng)行動(dòng)方案》。

《行動(dòng)方案》聚焦突出重點(diǎn)管理、做優(yōu)服務(wù)模式，以推動(dòng)重點(diǎn)企業(yè)、重要系統(tǒng)、關(guān)鍵產(chǎn)品防護(hù)能力升級(jí)為核心，提出3方面、8項(xiàng)重點(diǎn)任務(wù)，推動(dòng)提高工業(yè)領(lǐng)域網(wǎng)絡(luò)安全保障水平，著力支撐制造業(yè)高質(zhì)量發(fā)展，為實(shí)現(xiàn)“十五五”良好開局奠定堅(jiān)實(shí)基礎(chǔ)。

消息來源：中華人民共和國工業(yè)和信息化部

https://www.miit.gov.cn/gyhxxhb/jgsj/wlaqglj/zcjd/art/2025/art_daf97c6e11084a639ad6a1f1f54002fb.html

業(yè)內(nèi)新聞速覽

MCP工具鏈?zhǔn)讉€(gè)嚴(yán)重漏洞？一個(gè)釣魚網(wǎng)頁，遠(yuǎn)程劫持開發(fā)者電腦

安全內(nèi)參7月3日消息，知名AI公司Anthropic的模型上下文協(xié)議（MCP）Inspector工具被發(fā)現(xiàn)存在高危漏洞，編號(hào)為CVE-2025-49596，CVSS評(píng)分9.4，影響所有0.14.1之前版本。

該漏洞由Oligo Security發(fā)現(xiàn)，允許攻擊者通過誘導(dǎo)開發(fā)者訪問惡意網(wǎng)站，在其設(shè)備上遠(yuǎn)程執(zhí)行任意代碼。其成因是Inspector客戶端與代理服務(wù)器之間缺乏身份驗(yàn)證，默認(rèn)配置無加密且開放網(wǎng)絡(luò)訪問，易受攻擊。

攻擊者可利用“0.0.0.0-day”瀏覽器漏洞，通過JavaScript向MCP Inspector的SSE端點(diǎn)發(fā)送請(qǐng)求，執(zhí)行系統(tǒng)命令，導(dǎo)致數(shù)據(jù)泄露、后門植入和橫向移動(dòng)等嚴(yán)重后果。

Anthropic已于6月13日發(fā)布修復(fù)版本0.14.1，引入會(huì)話令牌驗(yàn)證機(jī)制并加強(qiáng)來源控制，建議用戶立即升級(jí)。研究人員提醒，應(yīng)避免將開發(fā)工具暴露在公網(wǎng)，并重視默認(rèn)配置的安全性。

此次事件凸顯AI開發(fā)基礎(chǔ)設(shè)施面臨的安全挑戰(zhàn)，強(qiáng)調(diào)實(shí)施嚴(yán)格安全實(shí)踐的重要性。

谷歌緊急修復(fù)已被利用的Chrome高危零日漏洞

近日，谷歌在發(fā)現(xiàn)一個(gè)已被野外利用的高危零日漏洞（CVE-2025-6554）后，緊急為其Chrome瀏覽器的穩(wěn)定版通道發(fā)布了更新。該漏洞被歸類為V8 JavaScript引擎中的類型混淆漏洞，對(duì)Windows、macOS和Linux平臺(tái)的用戶構(gòu)成嚴(yán)重威脅。

漏洞詳情：

CVE-2025-6554是Chrome核心渲染引擎V8 JavaScript引擎中的類型混淆漏洞。該漏洞由谷歌威脅分析小組（TAG）的Clément Lecigne于2025年6月25日發(fā)現(xiàn)，攻擊者可通過誘使瀏覽器錯(cuò)誤解析內(nèi)存類型來執(zhí)行任意代碼——這種利用方法通常用于實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE）。

風(fēng)險(xiǎn)等級(jí)：

零日漏洞——尤其是影響Chrome等瀏覽器的漏洞——是國家行為體、高級(jí)持續(xù)性威脅（APT）組織和以經(jīng)濟(jì)利益為目的的網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。V8引擎中的類型混淆漏洞此前曾被用于"路過式下載"攻擊、沙箱逃逸以及通過看似無害的網(wǎng)站投遞惡意負(fù)載。

更新信息：

本次發(fā)布的補(bǔ)丁版本號(hào)為：Windows 版138.0.7204.96/.97、Mac 版138.0.7204.92/.93、Linux 版 138.0.7204.96，將在未來數(shù)日乃至數(shù)周內(nèi)逐步推送。

谷歌在公告中警告：已確認(rèn)CVE-2025-6554漏洞的野外利用實(shí)例存在。鑒于該漏洞的敏感性及其潛在影響，在大多數(shù)用戶獲得保護(hù)前，完整技術(shù)細(xì)節(jié)仍將受限。

消息來源：FREEBUF 谷歌緊急修復(fù)已被利用的Chrome高危零日漏洞

加拿大政府以國家安全為由封殺?？低?/span>

澳洲航空曝史詩級(jí)數(shù)據(jù)泄露，600 萬乘客信息遭黑手！

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！