安全419快讯：加拿大拟出台数据保护新法：罚款最高可达全球营收5％

个人信息安全规范国标已启动应用推广试点 不日或将施行

信安标委日前召开了国家标准GB T 35273-2020《信息安全技术 个人信息安全规范》试点工作启动会，选择包含App、SDK、云计算、小程序、可穿戴设备等多种形态，涉及音视频处理、广告分发、生物识别、健康医疗、金融、房屋租售、天气服务等多种领域的试点对象，对标准内容的可操作性和适用性进行验证，探索形成标准实施应用工作模式，标准正式施行指日可待。

加拿大拟出台数据保护新法：罚款最高可达全球营收5%

加拿大创新、科学和工业部部长Navdeep Bains提出了新的数据保护法规《数字宪章实施法》（Digital Charter Implementation Act），将大幅提高对违法公司的罚款，最高罚款可达全球收入的5％或2500万加元（两者取其高）。加拿大总理特鲁多表示，对于侵犯隐私的行为，新法的规定将成为七国集团中的最高罚款。

CNNVD发布关于Drupal安全漏洞的通报

国家信息安全漏洞库（CNNVD）20日发布关于Drupal（一套使用PHP语言开发的开源内容管理系统）安全漏洞的通报，成功利用漏洞（漏洞编号为CNNVD-202011-1698、CVE-2020-13671）的远程攻击者可能获取目标系统或网站的管理权限，执行恶意代码。Drupal Core 7、8 8、8 9、9 0各分支版本均受此漏洞影响。目前，Drupal官方已经发布了版本更新修复了该漏洞。CNNVD建议用户及时确认产品版本并更新。

苹果将50个应用加入防火墙豁免名单引安全担忧

从去年发布macOS Catalina起，苹果将50个应用加入到防火墙的豁免名单中，即它们的网络流量不会路由经过防火墙。此举引起人们安全方面的担忧，安全研究者Patrick演示了恶意程序如何利用这一机制绕过防火墙的流量屏蔽：防火墙屏蔽所有外出流量，但恶意程序可以设法与列入豁免中的应用进行交互去实现与外界继续通信。目前苹果还未给出豁免理由，也尚未对此事发表声明。

Chrome要求扩展开发者披露收集的用户数据

Google 计划在Chrome Web Store商店页面加入一个新的区域，要求扩展开发者披露收集的用户数据以及如何处理用户信息，这一要求将于2021年1 月18日生效，目前Google已在扩展开发者的Web Store控制面板中加入了相关选项。Google不是唯一一个引入数据披露政策的公司，苹果在WWDC 2020上宣布所有App Store应用将要求展示隐私提示，列出应用收集的用户数据点，哪些数据点被用于跟踪用户。

安全419快讯