要闻速览

1、国务院办公厅印发《国务院2025年度立法工作计划》

2、中央网信办等四部门印发《2025年数字乡村发展工作要点》

3、Google因生物识别数据侵权支付创纪录13.75亿美元和解金

4、欧洲漏洞数据库正式启动，CVE动荡中的新选择

5、迪奥确认中国客户信息遭泄露

6、华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令

一周政策要闻

国务院办公厅印发《国务院2025年度立法工作计划》

2025年5月14日，国务院办公厅印发《国务院2025年度立法工作计划》，其中多项内容和网络与信息安全相关，包括制定政务数据共享条例，预备制定网络安全等级保护条例、终端设备直连卫星服务管理条例，预备修订政府信息公开条例、互联网信息服务管理办法、反间谍法实施细则，推进人工智能健康发展立法工作。此前公安部于2018年6月公布《网络安全等级保护条例（征求意见稿）》对外公开征求意见，时隔7年后，该文件终于迎来新进展。

中央网信办等四部门印发《2025年数字乡村发展工作要点》

近日，中央网信办、农业农村部、国家发展改革委、工业和信息化部联合印发《2025年数字乡村发展工作要点》（以下简称《工作要点》）。

《工作要点》要求，深入贯彻落实习近平总书记关于“三农”工作的重要论述和重要指示精神，全面贯彻落实党的二十届三中全会精神和中央经济工作会议、中央农村工作会议精神，按照《中共中央 国务院关于进一步深化农村改革 扎实推进乡村全面振兴的意见》的部署要求，深入实施《数字乡村发展战略纲要》，坚持学习运用“千万工程”经验，坚持发挥信息化驱动引领作用，锚定强农惠农富农任务目标，着力推动农业增效益、农村增活力、农民增收入，为加快建设网络强国、推进乡村全面振兴提供坚实支撑。

消息来源：中华人民共和国国家互联网信息办公室 https://www.cac.gov.cn/2024-05/15/c_1717449025941328.htm

业内新闻速览

Google因生物识别数据侵权支付创纪录13.75亿美元和解金

日前，Google已同意向德克萨斯州支付13.75亿美元的和解金，以解决2022年一项指控其未经适当同意收集和使用数百万德克萨斯州居民生物识别数据的诉讼。

德克萨斯州总检察长Ken Paxton办公室宣布这项和解协议，称其为该州的"历史性胜利"，并指出这是全美范围内针对Google的最高赔偿金额。根据诉讼，自2015年以来，Google在未获得用户同意的情况下非法收集德克萨斯州居民的面部和语音扫描数据，以增强其定向广告业务。此外，Google还被指控持续追踪使用其产品和服务的德克萨斯州居民，不断记录他们的位置和在Chrome隐身模式下的搜索内容。

Google发言人表示，此次和解涵盖了两个案件和三项索赔，所有这些都已导致技术巨头产品和服务的变更，因此无需进一步行动。Google还指出，和解并不意味着承认有不当行为或责任。。

消息来源：GoUpSec https://baijiahao.baidu.com/s?id=1831986635929155803&wfr=spider&for=pc

欧洲漏洞数据库正式启动，CVE动荡中的新选择

欧洲网络与信息安全局(ENISA)5月13日宣布正式启动欧洲漏洞数据库(EUVD)，这一举措在美国CVE体系面临动荡之际，为全球网络防御人员提供了新的选择。在CISA最近被迫临时延长非营利组织MITRE合同11个月后，许多机构对CVE项目的长期前景表示担忧，EUVD的启动可谓恰逢其时。

此前处于测试阶段的EUVD是根据新版NIS2指令要求开发的，其功能类似于美国国家漏洞数据库(NVD)。EUVD将提供一个集中化的信息源，包含网络安全漏洞信息、利用状态和建议的缓解措施。漏洞信息将来自多个来源，如计算机安全事件响应团队(CSIRTs)、厂商以及现有数据库，包括CISA的已知漏洞利用目录和MITRE CVE项目。这些信息将自动转入EUVD系统中。

EUVD为用户提供三个仪表板：关键漏洞、已被利用的漏洞，以及由欧洲CSIRTs支持的欧盟协调漏洞。每个漏洞都被赋予"EUVD"标识符，同时列出CVE ID和其他可能的标识，如云安全联盟的全球安全数据库(GSD)或GitHub安全公告(GHSA)。EUVD数据记录包括：漏洞描述、受影响的IT产品或服务及版本、漏洞严重性及利用方式、可用补丁信息或来自CSIRTs和其他机构的缓解指南。

消息来源：安全牛 https://mp.weixin.qq.com/s/yh40VgiLyRCy19UIIIPDdA

迪奥确认中国客户信息遭泄露

迪奥官方客服于2025年5月13日确认，该奢侈品牌在中国的客户数据库遭到未经授权的外部方访问，导致部分客户信息泄露。据迪奥于5月12日向用户发送的短信通知，受影响的中国客户个人信息可能包括姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好，以及客户可能已向迪奥提供的其他信息。被访问的数据库不包含银行账户详情、国际银行账户号码（IBAN）或信用卡信息等财务数据。
迪奥表示已采取措施防止事态扩大，并在网络安全专家协助下持续调查此事件。同时，公司已向相关监管部门进行报备。为保护客户安全，迪奥建议客户对任何可疑通信保持警惕，不要打开或点击来自不明来源的链接，不要透露验证码、密码等敏感信息，如收到可疑信息应咨询官方客服中心。

消息来源：中国新闻社 https://mp.weixin.qq.com/s/9toojbXPycmNctEZMN8VvA

华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令

独立网络安全研究员Paul发现华硕 DriverHub驱动管理工具存在严重远程代码执行漏洞，允许恶意网站在安装该软件的设备上执行命令。该软件对发送至DriverHub后台服务的命令验证不足，通过利用CVE-2025-3462和CVE-2025-3463漏洞链，可绕过来源验证并触发远程代码执行。

DriverHub是华硕官方驱动管理工具，在使用特定华硕主板时会在系统首次启动时自动安装。安装后，该工具通过本地服务在端口53000上持续运行，不断检查重要驱动更新。该服务检查传入HTTP请求的Origin Header，拒绝任何非来自 “driverhub.asus.com”的请求。然而，这一检查实现不当，任何包含该字符串的站点都会被接受，即使与华硕官方门户不完全匹配。第二个问题在于UpdateApp端点，它允许DriverHub从 “.asus.com” URL下载并运行.exe文件，无需用户确认。

攻击者可以诱使用户访问恶意网站，该网站向本地服务发送 “UpdateApp请求”。通过将Origin Header伪装为类似 “driverhub.asus.com.mrbruh.com” 的内容，绕过弱验证检查。在研究者的演示中，命令指示软件从供应商下载门户下载合法的华硕签名 “AsusSetup.exe” 安装程序，以及恶意.ini文件和.exe负载。华硕签名安装程序以管理员身份静默运行，并使用.ini文件中的配置信息，该文件指示合法华硕驱动安装程序启动恶意可执行文件。

目前华硕已实施了修复，并建议用户尽快应用最新更新。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！