为配合修订后的《商用密码管理条例》施行，国家密码管理局近期发布了《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》，向社会公开征求意见，意见征求截止日期为2023年7月9日。

 

　　文件提出了细化落实密码工作“三同步一评估”的具体要求、体现了商用密码应用安全性评估工作系统性原则、明确了商用密码应用安全性评估活动的实施依据，为后期正式开展密评工作提供了具体的指导。

 

　　近期的安全投诉事件呈下降趋势。近期没有新增影响特别严重的病毒木马，需要关注的还是各类钓鱼邮件。

 

 

　　01

 

　　微软2023年6月的例行安全更新共涉及漏洞数85个，其中严重等级的4个、重要等级的54个、一般等级的24个、低危等级的3个。这些漏洞中没有已被或是正在被利用的0day，值得关注的是CVSS评分高的几个漏洞：

 

　　微软SharePoint Server特权提升漏洞（CVE-2023-29357）。其CVSSv3评分为9.8，获得欺骗性JWT身份验证令牌的威胁者可以使用这些令牌执行网络攻击，从而绕过身份验证，并可能获得管理员权限。

 

　　微软Exchange Server远程代码执行漏洞（CVE-2023-32031、CVE-2023-28310）。前一个漏洞CVSSv3评分为8.8，后一个评分为8.0。利用上述漏洞，攻击者可以尝试通过网络调用在服务器账户的上下文中触发恶意代码。

 

　　Windows Pragmatic General Multicast（PGM）远程代码执行漏洞（CVE-2023-29363、CVE-2023-32014、CVE-2023-32015）。上述漏洞的CVSSv3评分均为9.8，当Windows消息队列服务运行在PGMServer环境中时，攻击者可以通过网络发送特制文件来实现远程代码执行。

 

　　鉴于上述漏洞的危害性，建议用户尽快使用系统自带的更新功能进行补丁安装。

 

　　02

 

　　Fortinet（飞塔）是国际著名的安全产品厂商，FortiOS是安全产品的操作系统，近期Fortinet发布了安全公告，修补其之前产品中存在的一个远程代码执行漏洞（CVE-2023-27997）。由于FortiOS的SSL VPN功能中存在一个基于堆溢出的漏洞，使得未经身份验证的攻击者利用该漏洞可以远程控制安全设备或使安全设备崩溃。建议使用相关设备的管理员尽快联系厂商进行版本更新。

 

　　03

 

　　Google发布了Chrome浏览器的最新版本，用于修补一个影响V8JavaScript引擎的类型混淆的安全漏洞（CVE-2023-3079）。

 

　　04

 

　　近期VMware官方发布了安全公告，修补VMware vCenter Server中的多个安全漏洞，建议使用相关产品的管理员尽快对vCenter进行升级。公告中修补的漏洞包括：

 

　　vCenter Server堆溢出漏洞（CVE-2023-20892）。由于在DCERPC协议的实现中使用了未初始化的内存，对vCenter Server有网络访问权的攻击者可利用该漏洞在VCenter Server管控的底层操作系统上执行任意代码。

 

　　vCenter Server释放后重用漏洞（CVE-2023-20893）。对vCenter Server有网络访问权的攻击者可利用该漏洞在VCenter Server管控的底层操作系统上执行任意代码。

 

　　vCenter Server越界写入漏洞（CVE-2023-20894）。对vCenter Server有网络访问权的攻击者可利用该漏洞在VCenter Server管控的底层操作系统上执行任意代码。

 

　　vCenter Server越界读取漏洞（CVE-2023-20895、CVE-2023-20896）。对vCenter Server有网络访问权的攻击者可利用该漏洞在VCenter Server管控的底层操作系统上越界读取数据，导致拒绝服务攻击。

 

 

　　微软近期启用了全新的更新服务模式，自2023年6月起，系统的更新将会分隔成security-only和security monthly rollup两个部分，security-only更新会包含这个月的所有全新安全更新，于每个月第2个星期二进行发布，不过security-only不会经由系统自带的Windows Update推送，而是通过Windows Server Update Services（WSUS）来发布，这将有助于企业内部更好地管理安全更新。Security monthly rollup则通过Windows Update方式进行发布，它包含本月所有的安全修复和之前已经发布的安全更新（类似之前累积安装包），所以用户只需要安装最新的Rollup就能让电脑保持最新状态。security monthly rollup的推送日期将会是每个月第3个星期二。