2020年10月信息安全资讯与预警

发布时间:2020-10-28浏览次数:

我国立法加强个人信息保护 收集用户数据要事前告知取得同意

10月13日,新华社北京电,近年来,随着大数据等技术的发展,一些网络平台擅自收集用户数据等行为,让群众反映强烈。13日首次提请全国人大常委会会议审议的个人信息保护法草案,确立以“告知——同意”为核心的个人信息处理一系列规则,有望为破解这些问题提供法律依据。报道显示,草案规定,处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言将个人信息处理者的身份、联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使本法规定权利的方式和程序等事项向个人告知。此外,报道还称,一些平台还利用收集的大数据向用户推送个性化广告。草案对此明确,利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。

Linux内核曝严重蓝牙漏洞,影响多个版本

10月15日,Freebuf网站消息,谷歌安全研究人员在Linux内核中发现了一组蓝牙漏洞(BleedingTooth),该漏洞可能允许攻击者进行零点击攻击,运行任意代码或访问敏感信息。BleedingTooth漏洞分别被命名为CVE-2020-12351,CVE-2020-12352和CVE-2020-24490。其中最严重的漏洞是基于堆的类型混淆漏洞(CVE-2020-12351),被评为高危漏洞。据悉,漏洞存在于BlueZ中,软件栈默认情况下为Linux实现了所有蓝牙核心协议和层。除Linux笔记本电脑外,它还用于许多消费或工业物联网设备。受害者蓝牙覆盖范围内的远程攻击者都可以通过目标设备的bd地址来利用此漏洞。攻击者能够通过发送恶意的L2CAP数据包来触发漏洞,导致拒绝服务,甚至执行具有内核特权的任意代码。