近日，工信部印发《关于开展纵深推进APP侵害用户权益专项整治行动的通知》，要求今年8月底前上线运行全国APP技术检测平台管理系统，12月10日前完成覆盖40万款主流APP检测工作。专项整治行动将督促相关企业及时整改消除违规收集、使用用户个人信息和骚扰用户、欺骗误导用户、应用分发平台管理责任落实不到位等突出问题，净化APP应用空间。

为落实《网络安全法》相关要求，围绕中央网信办等四部门联合制定的《App违法违规收集使用个人信息行为认定方法》，基于App专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》，信安标委秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》。指南归纳总结了App收集使用个人信息的六项评估点。

在印度宣布对TikTok、微信等59款中国手机应用程序的禁令不到一个月的时间，印度又将对腾讯旗下游戏“绝地求生”、小米短视频应用Zili、阿里巴巴网络购物应用AliExpress等另外275款中国应用程序（APP）进行审查，以确定其是否存在任何损害印度国家安全及侵犯用户隐私的行为。

此前，字节跳动被曝可能被迫出售TikTok给到微软，因为华盛顿考虑在美国禁用这款应用。并于8月1日宣布将完全剥离TikTok在美国的业务，由微软接盘。但昨日微软又宣布暂停收购视频分享应用TikTok的美国业务，但谈判据信尚未终结，两家公司正试图弄清楚白宫的立场。据称，微软希望保持TikTok独立运营。

7月30日，全球IT、通信网络的领先供应商NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招，或将影响所有中小企业及政府。需要注意的是,被爆出的这些漏洞去年就一直存在。

http://www.techweb.com.cn/ucweb/news/id/279912

7月30日，网络安全研究人员披露了一个位于GRUB2引导程序中的高风险漏洞BootHole（CVE-2020-10713），该漏洞影响了全球数十亿设备，几乎波及所有正在运行Linux发行版或Windows系统的服务器、工作站，笔记本电脑，台式机及IoT系统。一旦被利用，该漏洞可让攻击者避开安全启动功能，并获得高度特权，隐身访问目标系统。

https://www.freebuf.com/news/245060.html

 多款Apple产品中的ImageIO组件存在安全漏洞，漏洞编号CVE-2020-9871。攻击者可借助恶意制作的图像利用该漏洞执行任意代码。以下产品及版本受到影响：Apple iOS 13.6之前版本；iPadOS 13.6之前版本；macOS Catalina 10.15.6之前版本；基于Windows平台的iTunes 12.10.8之前版本，目前厂商已发布升级补丁以修复漏洞。

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1792

7月30日，安全研究人员公布了Zoom的一个关键安全漏洞。Zoom的网络客户端允许任何人检查会议的密码是否正确，没有任何尝试次数的限制。Zoom 会议默认由 6 位数字密码保护，所以可能出现100万个不同的密码。攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码，并在几分钟内找到正确的密码。

美国威睿（VMware）公司两款产品Tanzu Application Service for VMs和Tanzu Operations Manager中存在安全漏洞。攻击者可利用该漏洞获取管理权限，创建、删除和修改App Autoscaler服务实例。以下产品及版本受到影响：VMware Tanzu Application Service for VMs 2.7.19之前的2.7.x版本，2.8.13之前的2.8.x版本，2.9.7之前的2.9.x版本；VMware Tanzu Operations Manager 2.7.15之前的2.7版本，2.8.6之前的2.8版本，2.9.1之前的2.9版本。

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202007-1791

近日安恒信息威胁情报中心捕获了一个恶意LNK文件，通过关联分析，锁定了一个具有芬兰背景的黑客组织，该组织主要攻击带有域控机制的机构（如大型公司）。根据已知信息，已有俄罗斯、乌克兰等地多家企业被攻陷。该黑客组织自研的特马通过主机信息判断和字符的拼接、解密等操作，具有较强的免杀特性。

全球化妆品巨头雅芳（Avon）最近因云服务器配置错误泄漏了1900万条记录，暴露的数据库包含有关客户和员工的个人身份信息（PII），包括全名、电话号码、生日、电子邮件和家庭住址以及GPS坐标。此外包括40,000多个安全令牌、OAuth令牌、内部日志、账户设置和技术服务器信息。