3月22日,据国家网信办网站消息,为贯彻落实《中华人民共和国网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。
2021年3月4日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Exchange Server远程代码执行漏洞(CNVD-2021-14768、CNVD-2021-14769、CNVD-2021-14770,对应CVE-2021-26854、CVE-2021-26412、CVE-2021-27078)、Microsoft Exchange Server任意文件写入漏洞(CNVD-2021-14810、CNVD-2021-14811,对应CVE-2021-27065、CVE-2021-26858)、Microsoft Exchange Server反序列化漏洞(CNVD-2021-14812,对应CVE-2021-26857)、Microsoft Exchange Server请求伪造漏洞(CNVD-2021-14813,对 应CVE-2021-26855)。攻击者综合利用上述漏洞,可在未授权的情况远程执行代码。目前,部分漏洞细节已公开。
微软公司已发布了关于Exchange 服务的紧急安全更新,修复了7个相关漏洞:1)Exchange 服务端请求伪造漏洞(CVE-2021-26855):未经授权的攻击者利用该漏洞,可发送任意HTTP请求并通过Exchange服务身份验证。2)Exchange 反序列化漏洞(CVE-2021-26857):具有管理员(administrator)权限的攻击者利用该漏洞通过发送恶意请求,实现在Exchange服务器上以SYSTEM身份的任意代码执行。该漏洞单独利用须具备较高的前提条件。3)Exchange任意文件写入漏洞(CVE-2021-26858/CVE-2021-27065):经过Exchange服务身份验证的攻击者,利用该漏洞,可实现对服务器的任意目录文件写入。4)Exchange远程代码执行漏洞(CVE-2021-26412/CVE-2021-26854/CVE-2021-27078):攻击者利用此漏洞,可获得目标服务器的权限,最终在服务器上的任意代码执行。
经综合技术研判,上述漏洞的威胁程度高,范围广,CNVD对上述漏洞的综合评级为“高危”。目前,微软公司已发布新版本修复上述漏洞,CNVD建议用户立即升级至最新版本,避免印发漏洞相关的网络安全事件。