要闻速览
1、《网络安全技术 软件物料清单数据格式》国家标准发布
2、公安部就《网络犯罪防治法(征求意见稿)》公开征求意见
3、关于防范Microsoft Office安全功能绕过高危漏洞的风险提示
4、Claude新模型4.6:开箱即挖500个0day漏洞
5、美军在“午夜之锤行动”中使用网络武器干扰伊朗防空系统
6、米兰冬奥会开幕前,爆发多起未遂网络攻击
一周政策要闻
《网络安全技术 软件物料清单数据格式》国家标准发布
近日,国家市场监督管理总局、国家标准化管理委员会发布的2026年第4号《中华人民共和国国家标准公告》,由全国网络安全标准化技术委员会归口的GB/T 47020—2026《网络安全技术 软件物料清单数据格式》正式发布,并将于2026年8月1日起正式实施。
该标准规定了软件物料清单(SBOM)的数据格式,包括其组成结构、文件格式要求、元素定义及各元素的属性与属性值格式;适用于指导软件供应链相关方生成、共享和使用软件物料清单信息。
公安部就《网络犯罪防治法(征求意见稿)》公开征求意见
为有效遏制网络犯罪源头、整治网络犯罪生态,提升人民群众网络安全感和满意度,经充分调研论证,近期,公安部起草了《网络犯罪防治法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出意见建议:
1. 登录公安部网站(www.mps.gov.cn),进入首页“调查征集”查看文稿;
2. 通过邮件将意见发送至:wajfzc@sina.com;
3. 通过信函方式将意见寄至:北京市东城区东长安街14号公安部网络安全保卫局,邮编100741,并在信封上注明“网络犯罪防治法征求意见”。
意见反馈截止时间为2026年3月2日。
消息来源:公安部网安局 《网络犯罪防治法(征求意见稿)》公开征求意见的公告
业内新闻速览
关于防范Microsoft Office安全功能绕过高危漏洞的风险提示
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,Microsoft Office存在安全功能绕过高危漏洞,已被用于网络攻击。
由于Office在安全决策环节错误依赖不可信输入数据,攻击者可构造恶意Office文件并诱使用户打开,绕过本地安全功能,进而执行恶意代码。受影响版本包括32位和64位的Microsoft Office 2016/2019、Microsoft Office LTSC 2021/2024、Microsoft 365 Apps for Enterprise。
目前,微软官方已修复该漏洞并发布更新公告(URL链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509),建议相关单位和用户立即开展隐患排查,及时升级至最新安全版本,或采取修改注册表(针对Office 2016和2019)、重启Office应用程序(针对Office 2021及后续版本)等临时措施,防范网络攻击风险。
Claude新模型4.6:开箱即挖500个0day漏洞
Anthropic近日发布Claude Opus 4.6大模型,再度引发资本市场剧烈震荡。
该模型在未经定制、无专用指令或预设框架的情况下,自主识别出超过500个高严重性零日漏洞,涉及多个长期维护且经广泛测试的开源代码库。部分漏洞存在时间长达数十年,未被传统安全工具发现。
与依赖随机输入和程序崩溃检测的模糊测试方法不同,Claude Opus 4.6通过静态代码分析、项目历史提交记录审查、安全补丁比对及风险模式识别,实现逻辑驱动的漏洞挖掘。例如,在GhostScript中,模型通过分析旧有修复补丁,发现未覆盖的调用路径;在OpenSC中,精准定位因前置条件复杂而被忽略的strcat相关缓冲区溢出;在CGIF库中,基于对LZW压缩算法的理解,构造特定输入触发深层逻辑漏洞,并生成有效验证载荷。
为控制AI“幻觉”带来的误报,Anthropic采用多阶段验证机制:优先聚焦内存损坏类漏洞,由模型自身执行去重与排序,最终由人类研究员及外部专家人工复核。首批确认漏洞的修复补丁已发布,其余正协同开源项目维护者推进修复。
消息来源:智能洞见 Claude Opus 4.6大模型挖出数百个零日漏洞
美军在“午夜之锤行动”中使用网络武器干扰伊朗防空系统
2月5日The Record消息,据知情美国官员透露,美军在针对伊朗的“午夜之锤行动”中对伊朗的防空导弹系统实施了网络攻击。美国网络司令部对与福尔道、纳坦兹和伊斯法罕核设施相连的独立军事系统实施了网络攻击,从而阻止伊朗向进入伊朗领空的美国战机发射地对空导弹。军事系统通常依赖于一系列复杂的组件,所有组件都必须正常运作,任何一个环节的漏洞或弱点都可能被用来破坏整个系统。美国网络司令部对所谓的“目标点”实施了打击,即计算机网络上的映射节点,如路由器、服务器或其他外围设备。据悉,“午夜之锤行动”中的数字部分,是美国网络司令部近16年内对伊朗采取的最复杂的行动之一。
消息来源:安全内参 https://www.secrss.com/articles/87631
米兰冬奥会开幕前,爆发多起未遂网络攻击
安全内参2月6日消息,意大利外交部长安东尼奥·塔亚尼近日披露,意方已成功阻止一系列源自俄罗斯的网络攻击。这些未遂攻击目标广泛,涵盖意大利驻华盛顿、巴黎、多伦多、悉尼等地的外交机构,以及2026年米兰-科尔蒂纳丹佩佐冬奥会相关设施,包括赛事举办地科尔蒂纳丹佩佐的酒店与官方网站。尽管攻击波及约120个目标,但未造成实质性破坏,具体技术细节尚未公开。亲俄黑客组织NoName057(16)随后在Telegram上宣称对此负责,称此举系报复意大利对乌克兰的支持,并承认使用了典型的分布式拒绝服务(DDoS)手段。
值得注意的是,这并非奥运会首次成为网络攻击目标。受俄乌战争影响,俄罗斯已被禁止以国家名义参加本届冬奥会,仅有13名俄籍运动员获准以中立身份参赛。
消息来源:安全内参 https://www.secrss.com/articles/87695
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!
