•2024年第三季度电信服务的品质通告：下架333款有一定的问题的不良手机应用

  •CISA风险提示：思科和RoundCube两个关键漏洞已被在野实际利用

  工业与信息化部近日发布通告，从电信服务重点工作情况、电信用户投诉申诉情况、工作要求及消费提示等三个方面，对2024年第三季度电信服务有关情况做了介绍。

  通告显示，2024年第三季度，全国电信用户申诉中，涉及服务争议的申诉占比34.0%，涉及营销、收费、资费争议的申诉占比50.7%，涉及网络、安全的申诉占比15.3%。各级电信用户申诉受理机构按照《电信用户申诉解决的方法》相关规定，对用户申诉做处理和调解，有效维护了电信用户合法权益。

  通告还显示，2024年第三季度，不良手机应用有效投诉中，涉及网络安全问题的投诉占比48.9%，涉及个人隐私信息及权限问题的投诉占比29.4%，涉及信息安全问题的投诉占比21.7%。通过行业自律，中国互联网协会联合应用商店、安全检测厂商对有一定的问题的333款不良手机应用进行下架处理。

  为了解我国数字素养与技能发展现状，找准关键领域和重点环节，构建精准施策的数据支撑，实现以评促建、以评促用、以评促强，中央网信办会同中国科协等组织开展了首次全国范围的全民数字素养与技能发展水平调查。此次调查对全国31个省（区、市）开展问卷调查，调查对象为18-69周岁成年公民（以下简称成年人）和12-17周岁未成年公民（以下简称未成年人），共回收样本288万份，其中有效样本272万份。

  调查结果为，我国六成以上公民具备初级及以上数字素养与技能。我国60.61%的成年人和64.69%的未成年人具备初级及以上数字素养与技能，16.26%的成年人和12.55%的未成年人具备高级数字素养与技能。东部地区、中部地区、西部地区成年人具备初级及以上数字素养与技能水平占比分别为63.23%、60.03%、56.90%，具备高级数字素养与技能水平占比分别为18.50%、15.13%、13.80%。

  近日，Linux基金会因美国对俄罗斯的制裁措施，从Linux内核项目中移除了11名与俄罗斯相关的维护者。这一决定由Linux操作系统创始人林纳斯·托瓦兹确认，引发了开源社区的广泛讨论。

  据了解，被移除的开发者主要负责为宏碁、Cirrus和Baikal等公司硬件设备开发驱动程序。Linux基金会表示，这一举措是为了确认和保证遵守美国制裁法规，旨在限制技术和服务流向俄罗斯。尽管Linux是一个开源项目，但其开发和维护涉及全球贡献者社区，因此受到国际法规的影响。Linux基金会移除俄罗斯维护者，旨在降低无意中违反这些制裁的风险。

  这一事件也引发了关于开放协作与地理政治学考量之间平衡的讨论。尽管制裁措施旨在限制技术流向，但同时也影响了全球开源社区的合作。这一事件突显了开源项目在应对复杂地理政治学问题时所面临的挑战。

  美国白宫近日发布了一份关于人工智能的国家安全备忘录（NSM），旨在确保人工智能技术在安全、可靠和可信的基础上发展，以维护美国的国家安全利益。这份备忘录是继2023年10月总统拜登发布人工智能安全和保障新标准的行政命令后，美国政府在AI领域的又一重大举措。

  备忘录明确了联邦政府在AI领域的一系列关键行动：将改善半导体芯片供应链的安全性和多样性，支持下一代政府超级计算机和其他新兴技术的发展；监测竞争对手针对国家人工智能部门的行动，并将其列为最高优先级的情报任务，为AI开发者提供及时的网络安全和反间谍信息；指定人工智能安全研究所作为AI行业与美国政府的主要联系点，并加强其与国家安全机构的合作；备忘录强调了国家AI研究资源的重要性，确保大学、民间社会和小企业的研究人员可以有效的进行有意义的人工智能研究。

  国家经济顾问莱尔·布雷纳德表示，这份备忘录是美国政府支持美国在AI领域的领导地位的最新举措。美国国土安全部（DHS）也表示，将在未来几个月内推进AI研究工作，并与其他联邦政府部门合作，促进人工智能使用的共同标准和规范。

  ISACA最新研究显示，大多数网络安全团队在组织的人工智能战略实施过程中被排除在关键决策圈之外。这项针对1800名网络安全专业技术人员的调查揭示了一个令人担忧的趋势：45%的收房的人说未参与人工智能解决方案的开发、引入或实施，仅有35%的安全团队参与制定组织内人工智能技术使用的政策。

  尽管如此，AI在安全运营中的应用仍在稳步推进。28%的收房的人说用AI进行威胁检测和响应自动化，27%用于端点安全，24%利用人工智能自动化常规安全任务，13%专注于欺诈检测。ISACA专业实践与创新总监Jon Brandt指出，鉴于网络安全人员面临的人员短缺和复杂威胁环境，AI在自动化和简化任务方面的潜力值得探索。

  Brandt强调，网络安全领导者不能仅关注AI在安全运营中的角色，安全职能必须参与企业内所有人工智能解决方案的全过程，包括后期获得人工智能能力的现有产品。随着欧盟人工智能法案将于2026年8月生效，建议组织实施审计追踪与可追溯性措施，调整现有的网络安全和隐私程序，并指定人工智能负责人来监控企业的AI工具使用。

  近日，网络安全研究人员发现了一起严重的数据泄露事件，涉及联合国消除对女性暴力投资基金的敏感信息。这次泄露暴露了超过11.5万份文件，总计228GB的数据，其中包含个人隐私信息、财务记录和受害者证词等高度敏感的内容。

  据调查，这个数据库由于配置错误而完全暴露在网络上，没有设置任何密码或安全认证措施。泄露的信息涵盖了广泛的内容，包括员工个人隐私信息、受害者详细资料、财务细节和组织内部文件。这一些数据涉及联合国妇女署和联合国消除对女性暴力投资基金的工作。

  这次数据泄露对参与相关工作的个人和组织构成了严重的隐私和安全威胁。泄露的信息可能被恶意行为者用于网络钓鱼、身份盗窃、勒索等多种犯罪活动。更令人担忧的是，泄露的内部文件可能为犯罪分子提供了组织运作、管理结构和财务情况等敏感信息，增加了进一步攻击的风险。

  目前，联合国妇女署已经对数据库进行了安全加固，并发布了诈骗警报。该组织正在采取一定的措施降低与数据泄露相关的风险，并努力防止类似事件再次发生。

  近期，微软发布的一项研究报告揭示了一个令人担忧的趋势：美国医疗行业正面临前所未有的勒索软件攻击威胁。在2024年，有近400家美国医疗机构遭遇勒索软件感染，导致个人隐私信息泄露、设施运营中断，甚至危及患者生命。

  报告多个方面数据显示，医疗机构遭受勒索软件攻击的平均赎金支付金额已上升至约440万美元，而因停机造成的损失高达90万美元。这使得医疗行业成为勒索软件攻击者最具盈利性的目标之一。

  微软研究人员通过比较四家遭受勒索软件攻击的医院数据，发现这些事件导致患者数量增加15%，候诊时间几乎增加50%。更令人震惊的是，确诊的中风病例增加了113%，心脏骤停病例增加了81%。这一些数据清楚地表明，勒索软件攻击不单单是一个网络安全问题，更是直接威胁到患者生命的严重事件。

  近日，安全研究人员发现Wi-Fi联盟测试套件中存在一个严重的命令注入漏洞，该漏洞可能允许未经身份验证的本地攻击者以root权限执行任意代码。

  CERT协调中心（CERT/CC）在最新公告中指出，攻击者能够最终靠发送特制的数据包来攻击Wi-Fi测试套件，从而在受影响的路由器上以最高权限执行任意命令。Wi-Fi测试套件是Wi-Fi联盟开发的自动化测试Wi-Fi组件或设备的集成平台。虽然该工具包的部分开源组件是公开可用的，但完整版本仅对Wi-Fi联盟成员开放。有必要注意一下的是，这套测试工具本不应用于生产环境，但在商用路由器中被发现。

  CERT警告，成功利用此漏洞的攻击者能够得到对受影响设备的完全管理控制。这在某种程度上预示着攻击者可以修改系统设置、中断关键网络服务，甚至完全重置设备，可能会引起服务中断、网络数据泄露，以及对所有依赖受影响网络的用户造成潜在的服务损失。

  美国网络安全和基础设施安全局（CISA）近日将两个重要漏洞添加到其已知被利用漏洞（KEV）目录中，分别是思科ASA和FTD设备的拒绝服务漏洞（CVE-2024-20481）以及RoundCube Webmail的跨站脚本漏洞（CVE-2024-37383）。

  思科漏洞（CVE-2024-20481）影响其自适应安全设备（ASA）和Firepower威胁防御（FTD）产品的远程访问VPN（RAVPN）服务。该漏洞允许未经身份验证的远程攻击者通过发送大量VPN身份验证请求，导致资源耗尽，从而引发拒绝服务攻击。思科确认该漏洞已在实际环境中被积极利用。

  RoundCube Webmail漏洞（CVE-2024-37383）影响157版本之前和167版本之前的软件。攻击者能够最终靠诱使用户打开特制电子邮件，在受害者的浏览器上下文中执行任意JavaScript代码。安全研究人员发现，攻击者正利用此漏洞进行网络钓鱼活动，旨在窃取RoundCube用户的凭据。

  CISA要求联邦机构在2024年11月14日之前修复这些漏洞。同时，专业的人建议私营组织也应检查并解决其基础设施中的相关漏洞。

  日本品牌优衣库创始人 柳井正明确说不用新疆棉 中国门店数量甚至超过日本 目前其官方账号已开评论精选

  来源：【闪电新闻】11月29日（发布时间），日本品牌优衣库(UNIQLO)创始人柳井正在接受各个媒体采访时明确说，优衣库不使用中国新疆地区的棉花。尽管中国是优衣库的重要市场，门店数量甚至超过了日本。目前，优衣库官方账号已开启评论精选。

  应基金会邀请，由北京大学、清华大学等7所高校共40名师生组成的大陆高校师生访问团11月27日抵达台湾，开始为期9天8夜的交流参访行程。11月29日下午，大陆高校师生访问团到台湾文化大学参访。

  据宁夏回族自治区纪委监委消息：宁夏回族自治区政协原常委，经济委员会原党组书记、主任李文华涉嫌严重违纪违法，目前正接受宁夏回族自治区纪委监委纪律审查和监察调查。

  越南女首富被判死刑，检方称交798亿元可免死！本人当庭“卖惨”：想尽快把财富交给国家

  当地时间11月26日，越南胡志明市高级人民法院对张美兰以及其他47名涉案人员的上诉进行了审理，越南媒体对此次庭审进行了报道。张美兰在庭审发言时称，自己“因为被扣上贪污财产的罪名感觉到很羞愧”，而自己的资产储备“足以克服案件的部分后果”。

  英媒：泽连斯基首次暗示，若能入约，即使乌“被占领土”不会立即归还，也可能达成停火

  来源：环球网 【环球网报道 记者 姜蔼玲】“泽连斯基暗示，只要北约提供成员资格，（俄罗斯和）乌克兰战争的‘热阶段’就可能结束——即使‘被占领土’不会立即归还”。

  还有一个多月就是2025年了，2025年放假安排出来啦!各省、自治区、直辖市人民政府，国务院各部委、各直属机构:经党中央、国务院批准，根据2024年11月修订的《全国年节及纪念日放假办法》，自2025年1月1日起，全体公民放假的假日增加2天，其中春节、劳动节各增加1天。

  农业银行沈阳于洪支行发布说明，回应网传“转账5000元需提供证明文件”一事

  极目新闻记者 柴荆11月28日，一段“过程确实坎坷，但不管怎样，最后还是给解决了，没有耽误交租金的事情，服装店能开始装修了”的视频，在社交平台引发关注，辽宁省沈阳市一储户转账5000元需提供相关证明一事在网上传播。

  冬季来临，羽绒服、羽绒被等羽绒制品成为市场上的香饽饽，但一部分“假羽绒制品”却在线上、线下市场肆意泛滥。

  小雪已过，寒潮已至气温一天天地走低忙活了一整天洗个热乎乎的澡再钻进暖暖的被窝再舒服不过！然而不少人洗澡时或多或少会犯些错结果把本该舒服又养人的“养生澡”硬生生洗成了“伤身澡”天冷洗澡，注意这5点1. 注意正确洗澡顺序天冷后洗澡，最好还是不要先洗头后洗身体，预防脑部出状况。

  在大家的印象中，监狱是一个纪律严明、隔绝外界的地方，尤其是女子监狱，连男性都难以靠近。然而，令人匪夷所思的是，每年竟然有不少女囚在这样的环境中怀孕!