修订后的《商用密码管理条例》自2023年7月1日起施行，这是该条例自1999年公布后的首次全面重大修订。此次修订完善了商用密码的管理体制，健全了商用密码的认证体系，规范了商用密码的进出口管理，进一步推进了商用密码科技创新与标准建设，并促进了商用密码的应用。

【资料图】

需要关注的是，新条例实施后，原来在等保2.0中“第三级以上网络或系统应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务”的要求将从推荐标准变成强制实施的标准。也就是说，未来在等保测评中密码技术的审查和评测将会从严执行。

在病毒与木马方面，近期没有新增影响特别严重的病毒木马，需要关注的还是各类钓鱼邮件。

2023年4月-5月CCERT安全投诉事件统计

近期新增严重漏洞评述

01

微软2023年5月的例行安全更新共涉及漏洞数40个，其中严重等级的6个、重要等级的34个。这些漏洞中有3个属于0day漏洞，其中2个在野被利用，1个已被公开披露，它们是：

Win32k内核驱动程序权限提升漏洞（CVE-2023-29336）。其CVSSv3评分为7.8，成功利用该漏洞可以获得SYSTEM权限，目前该漏洞已被利用。

Windows安全启动功能绕过漏洞（CVE-2023-24932）。该漏洞的CVSSv3评分为6.7，利用该漏洞，攻击者可以绕过系统的安全启动功能，但需要设备的物理访问权限或本地管理员权限，目前该漏洞已经被利用。

WindowsOLE远程代码执行漏洞（CVE-2023-29325）。该漏洞的CVSSv3评分为8.1，攻击者可以通过向受害者发送特制电子邮件或其他方式来利用该漏洞，成功利用可能导致受害者的机器远程执行代码。目前该漏洞还未发现在野的攻击，但是漏洞信息已被公开披露，推测Outlook邮件客户端的预览功能可能会成为该漏洞的利用途径之一。

除上述0day漏洞外，另外两个CVSSv3评分在9.8的漏洞也需要引起关注，它们是Windows网络文件系统远程代码执行漏洞（CVE-2023-24941）和Windows Pragmatic General Multicast（PGM）远程代码执行漏洞（CVE-2023-24943）。鉴于上述漏洞的危害性，建议用户尽快使用系统自带的更新功能进行补丁安装。

02

苹果公司在5月中旬发布安全公告，披露了涉及iPhone、iPad和Mac系统的3个0day漏洞。这些漏洞可能导致沙箱逃逸、敏感信息读取和任意代码执行。利用这些漏洞需要被攻击者访问恶意的网页内容。目前苹果已经在新版的MacOS、iOS、iPadOS、tvOS、watchOS和Safari中修补了这些漏洞，建议用户尽快进行升级。

03

Apache Ranger是美国阿帕奇（Apache）基金会的一套为Hadoop集群实现全面安全措施的架构，用于在Hadoop平台上使用、监控和管理数据，保护数据安全性。Apache Ranger2.0.0至2.3.0版本中存在安全漏洞，该漏洞是因为系统对关键资源的权限分配错误导致的，攻击者利用该漏洞可以修改Hive中表的权限。目前厂商已经针对该漏洞发布了补丁程序，建议相关用户尽快下载安装。

04

思科于5月中旬发布更新以解决其Small Business系列交换机中存在的9个安全漏洞。这9个安全漏洞中有4个CVSSv3评分为9.8。漏洞影响思科公司的一系列企业级交换机产品，未经身份验证的攻击者可以向交换机的Web界面发送特制请求来利用上述漏洞。建议使用相关产品的用户尽快联系厂商的售后进行版本升级。

05

GitLab发布了GitLab CE/EE 16.0.1版以解决之前版本中存在的路径遍历漏洞（CVE-2023-2825），该漏洞的CVSSv3评分为10。当嵌套在至少五个组中的公共项目存在附件时，攻击者可在未经身份验证的情况下通过uploads功能遍历读取任意文件，导致敏感信息泄露。建议使用相关版本的管理员尽快对程序进行更新升级。

安全提示

安全启动是电脑行业的一种安全标准，用于保护系统在启动时不被从硬件驱动中嵌入恶意程序。当电脑启动时，固件会检查每个启动软件片段的签名，包括UEFI固件驱动程序（也称为选项ROM）、EFI应用程序和操作系统。如果签名有效，则电脑将会启动，而固件会将控制权转递给操作系统。本次微软准备分阶段修补安全启动绕过漏洞（CVE-2023-24932），5月发布的修补程序部署默认值是关闭的，需要用户手动配置才能够起到修补作用，7月微软将推出第2个补丁版本来简化这个操作过程，而最终的自动化版本则需要到明年第一季度才会推出。

作者：郑先伟（中国教育和科研计算机网应急响应组）

责编：项阳