怎样屏蔽指定补丁不更新（NIST发布新版企业补丁管理指南）

美国国家标准与技术研究院(NIST)近十年来首次彻底更新了其企业补丁管理指南。上一个NIST补丁管理指南版本于2013年发布，侧重于帮助组织部署补丁管理技术，而新版本则侧重于开发补丁管理策略。新的以战略为重点的指南“讨论了影响企业补丁管理的常见因素，并建议制定企业战略以简化和实施补丁，同时还可以降低风险”。

安全研究人员披露了VirusTotal平台中的一个安全漏洞，该漏洞可能已被武器化，从而实现远程代码执行(RCE)。该漏洞跟踪为CVE-2021-22204(CVSS评分:7.8)，其在于ExifTool错误处理DjVu文件导致的任意代码执行。这不是ExifTool漏洞第一次作为实现远程代码执行的管道出现。去年，GitLab修复了一个关键缺陷(CVE-2021-22205，CVSS评分:10.0)，此漏洞与对用户提供的图像进行不正确的验证有关，从而导致任意代码执行。

Everscale钱包的Web版本曝出安全漏洞，如果成功将其武器化，攻击者就可以完全控制受害者的钱包。以色列网络安全公司Check Point表示:“通过利用这个漏洞，攻击者可以解密存储在浏览器本地存储中的私钥和种子短语。换句话说，攻击者可以完全控制受害者的钱包。” 该漏洞被披露后，新的桌面应用程序已经发布以取代易受攻击的web版本，后者现在被标记为不推荐使用，仅用于开发目的。

4 月 24 日，据新华社报道，国家计算机病毒应急处理中心近期通过互联网监测发现 17 款移动 App 存在隐私不合规行为，违反网络安全法、个人信息保护法等相关规定，涉嫌超范围采集个人隐私信息。《大智慧》、《中国银河证券》、《e 海通财》、《广发易淘金》等被列其中。针对上述情况，国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用违法、违规移动 App。

中央网信办举报中心近日发布了主要商业网站平台 2022 年 3 月份网络侵权举报受理处置情况。2022 年 3 月，微博、抖音、百度、腾讯等主要商业网站平台重点受理泄露他人隐私、造谣诽谤、侮辱谩骂等网络侵权举报达 37.3 万件。2022 年 3 月，全国各级网络举报部门受理举报 1258.6 万件，环比增长 2.1%、同比增长 16.5%。在全国主要网站受理的举报中，主要商业网站受理量占 60.9%，达 692.8 万件。

根据省有关工作部署和要求，肇庆市发改局去年以来联同多部门重拳出击，持续打击市内虚拟货币“挖矿”行为。目前，国家和省推送的涉肇虚拟货币“挖矿”名单已全部实地清理，查处电脑矿机207台。此前，某国企一厂区内存在涉嫌虚拟货币“挖矿”行为，该企业对当事人及相关人员做出解除劳动关系等处理，并追缴耗电费和所获收益。

更多安全资讯尽在“安全419”