2026-03-27 01:47:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本期安全热点周报涵盖了多项重要安全动态。在漏洞方面，谷歌紧急修复了Chrome浏览器中两个已被利用的零日高危漏洞；同时，MicrosoftOfficeSharePoint的一个高风险远程代码执行漏洞也被证实正在遭受攻击。此外，泛微E-cology10和OpenClaw等产品的安全漏洞也需关注。安全事件方面，多个iPhone入侵工具被威胁组织滥用，可静默入侵设备；美国机器人手术巨头Intuitive遭网络钓鱼攻击导致数据泄露；青岛警方破获一起利用AI技术合成动态人脸视频进行诈骗的案件。政策上，十五五规划纲要强调提升网络安全保障能力，相关团体技术规范也已发布。 综合评分： 85 文章分类： 漏洞分析,恶意软件,数据泄露,政策法规,网络安全

cover_image

安全热点周报：谷歌修复了两个在攻击中被利用的 Chrome 零日漏洞

奇安信 CERT

2026年3月20日 17:03 北京

PART01

漏洞情报

1.泛微E-cology10远程代码执行漏洞安全风险通告

3月17日，奇安信CERT监测到官方修复泛微E-cology10远程代码执行漏洞(QVD-2026-14149)，未经身份验证的远程攻击者可利用该漏洞向特定接口发送恶意请求，在目标服务器上执行任意代码，进而获取服务器权限。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

2.OpenClaw WebSocket共享令牌权限提升漏洞安全风险通告

3月16日，奇安信CERT监测到官方修复OpenClaw WebSocket共享令牌权限提升漏洞(QVD-2026-13829)，该漏洞存在于OpenClaw网关的WebSocket连接处理逻辑中。在2026.3.12版本之前，当使用无设备共享令牌或密码认证的后端连接时，系统未能正确验证和限制客户端自行声明的权限范围，攻击者可利用该漏洞，通过获取或构造无设备共享令牌，在WebSocket连接建立时自行声明高权限作用域，从而绕过正常的权限控制机制。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

PART02

新增在野利用

1.Microsoft Office SharePoint 反序列化漏洞(CVE-2026-20963)

3月18日，美国网络安全和基础设施安全局 (CISA) 正式扩展了其已知漏洞利用(KEV) 目录，新增了一个正被网络攻击者利用的高风险漏洞，是 Microsoft SharePoint 中的一个关键远程代码执行 (RCE) 漏洞。

该漏洞编号是 CVE-2026-20963，它是 Microsoft SharePoint 中的一个远程代码执行漏洞，CVSS 评分为 9.8。该漏洞源于“反序列化不受信任的数据”，这是一种经典的漏洞模式，允许未经授权的攻击者在无需任何凭据的情况下通过网络执行代码。

在典型的网络攻击中，恶意攻击者可以“编写任意代码，远程注入并执行 SharePoint 服务器上的代码”。虽然微软在其1月份的“补丁日”活动中发布了此漏洞的修复程序，但该漏洞被移至 KEV 目录表明，攻击者仍在成功查找并入侵未打补丁的服务器。

鉴于目前存在漏洞被积极利用的情况，建议受影响客户尽快更新至补丁版本。

参考链接：

https://thehackernews.com/2026/03/cisa-warns-of-zimbra-sharepoint-flaw.html

2.Google Chrome Skia 越界写入漏洞(CVE-2026-3909)&Google Chrome V8 不当实现漏洞(CVE-2026-3910)

3月14日，谷歌发布了紧急安全更新，以修复 Chrome 浏览器中两个在零日攻击中被利用的高危漏洞。

谷歌在其发布的一份安全公告中表示，目前已经意识到 CVE-2026-3909 和 CVE-2026-3910 的漏洞利用程序已经存在于网络上。第一个零日漏洞（CVE-2026-3909）源于Skia 中的越界写入漏洞，Skia 是一个开源的 2D 图形库，负责渲染网页内容和用户界面元素，攻击者可以利用该漏洞使网页浏览器崩溃，甚至执行代码。第二个漏洞（CVE-2026-3910）被描述为 V8 JavaScript 和 WebAssembly 引擎中不恰当的实现漏洞。

Google 发现了这两个安全漏洞，并在用户报告后的两天内对其进行了修复，针对稳定桌面频道的用户推出了新版本，并向 Windows (146.0.7680.75)、macOS (146.0.7680.76) 和 Linux 系统 (146.0.7680.75) 推出了新版本。虽然谷歌表示，此次带外更新可能需要几天或几周的时间才能推送给所有用户，但目前该更新已正常可用。如果用户不想手动更新浏览器，也可以设置浏览器自动检查更新并在下次启动时安装。

这是自 2026 年初以来修复的第2个和第3个被积极利用的 Chrome 零日漏洞。尽管谷歌发现了攻击者正在利用这一零日漏洞进行攻击的证据，但该公司并未透露有关这些事件的更多细节。在大多数用户都获得修复程序之前，谷歌可能会限制对错误详情和链接的访问。如果错误存在于其他项目同样依赖但尚未修复的第三方库中，他们也将继续保留这些限制。

参考链接：

https://www.bleepingcomputer.com/news/google/google-fixes-two-new-chrome-zero-days-exploited-in-attacks/

PART03

安全事件

1.“网络洲际导弹”遭多个威胁组织滥用，数亿台iPhone可被静默入侵窃取所有数据

3月18日连线消息，谷歌等多家安全公司披露，近期在公网上发现DarkSword、Coruna等多个iPhone入侵工具的攻击行为，已被俄罗斯等多个威胁组织和间谍软件肆意使用，用于在水坑站点窃取针对性目标的iPhone隐私数据。据悉，DarkSword包括2组漏洞利用链6个CVE漏洞，可入侵iOS 18.4-18.7，Coruna包括23个漏洞利用工具（12个确定CVE编号），可入侵iOS 13-17.2.1，两者可影响数亿台老版本的iPhone设备。这一发现显示，iPhone入侵技术现已形成地下交易市场，威胁组织现在可以较容易获取对应资源，高价值苹果用户应及时更新系统，使用锁定模式等高级安全措施。

原文链接：

https://www.wired.com/story/hundreds-of-millions-of-iphones-can-be-hacked-with-a-new-tool-found-in-the-wild/

2.美国机器人手术巨头Intuitive遭网络攻击，客户及内部数据泄露

3月17日SecurityWeek消息，美国机器人手术巨头Intuitive披露遭到网络攻击，导致数据泄露。该公司表示，这是一起“有针对性的网络钓鱼事件”，导致某些内部业务应用被未经授权访问。攻击者利用目标员工的内部业务应用访问权限，获取了客户的业务与联系信息、员工信息及公司数据。该公司称：“发现问题后，我们迅速启动了事件响应预案，并安全加固了所有受影响的应用程序。”据Intuitive发布的事件通知，此次攻击并未影响公司运营，也未影响旗下产品和客户支持能力。

原文链接：

https://www.securityweek.com/robotic-surgery-giant-intuitive-discloses-cyberattack/

3.超5万条公民身份信息及动态人脸合成视频遭售卖，用于“AI换脸”诈骗

3月17日山东公安公众号消息，青岛胶州市公安局近日破获一起利用非法获得公民个人信息进行AI换脸的诈骗案，查获利用AI技术合成，带有“摇摇头”“眨眨眼”的动态人脸视频5万多条。据悉，该犯罪团伙的不同环节人员，通过境外聊天软件获取了大量公民姓名、身份证号等，并根据网站和平台漏洞获取对应公民的照片及手机号，形成一组完整的公民个人信息要素。为了规避各类社交平台App实名认证机制以从事黑灰产犯罪行为，犯罪嫌疑人利用AI技术，把非法获取的静态的证件照片合成“摇摇头”“眨眨眼”的认证视频，再实名注册具有支付功能、直播权限的社交媒体等账号，从而实施诈骗、刷单，发布涉赌涉黄违法信息。目前，14名犯罪嫌疑人已被警方依法采取刑事强制措施，案件仍在深挖扩线中。

原文链接：

https://mp.weixin.qq.com/s/xUjVuqQL4zqAYDdCOLkNCw

4.泄露隐私违反《个人信息保护法》，乐天信用卡在韩被罚超4400万元

3月12日韩国中央日报消息，日本乐天信用卡公司因45万名用户的居民注册号码泄露，被韩国个人信息保护委员会（PIPC）处以96亿韩元罚款（约合人民币4425.6万元），并要求实施安全审查和改进。据PIPC通报，该委员会在2025年9月收到个人信息泄露通报后启动调查。调查显示，乐天信用卡在在线支付过程中生成的日志文件中，以明文形式记录了一系列个人信息，其中包括居民注册号码（类似中国的身份证号码），这超出了法律允许的居民注册号码处理范围。调查人员还发现，相关日志文件的加密措施不足。按照规定，日志文件本应只记录必要的最少个人信息，但乐天信用卡在未进行单独审查的情况下，存储了包括居民注册号码在内的多种信息。PIPC认为，这一做法是导致此次黑客攻击事件发生的重要原因之一。

原文链接：

https://koreajoongangdaily.joins.com/news/2026-03-12/business/industry/Lotte-Card-fined-96-billion-won-for-leaking-users-social-registration-numbers/2543202

PART04

政策法规

1.团体技术规范《网络安全运营大模型参考架构》发布

3月16日，中国网络安全产业联盟（CCIA）正式发布技术规范T/CCIA 005-2026《网络安全运营大模型参考架构》，自2026年5月1日起实施。该文件提出了网络安全运营大模型参考架构，给出了用户界面、模型推理单元、知识库、安全资源池、数据湖的功能及其关系的描述，适用于网络安全运营大模型相关产品的设计、开发、测试、部署、集成以及评估。

原文链接：

https://mp.weixin.qq.com/s/1BNQWfDO-_662TxXCnZJgQ

2.“十五五”规划纲要正式发布，强调提升网络安全保障能力

3月13日，十四届全国人大四次会议3月12日表决通过了《中华人民共和国国民经济和社会发展第十五个五年规划纲要》，由新华社受权播发。该文件共18篇62章，其中在第十四篇“推进国家安全体系和能力现代化建设更高水平平安中国”第五十二章“保障国家经济安全”下，单节要求提升网络安全保障能力。具体包括：深化网络空间安全综合治理，加快国家网络安全防御体系建设。健全关键信息基础设施安全防护、网络安全审查、云计算服务安全评估等基础制度，完善互联网内容管理、网络平台治理等法规。严厉打击网络违法犯罪行为，加强个人信息保护。持续开展“清朗”系列专项行动，治理网络谣言、网络暴力等乱象，营造风清气正的网络环境。支持网络安全技术创新和产业发展，鼓励发展安全可靠的信息产品和服务。推进容灾备份体系建设，加强工业控制系统和新技术新应用的网络安全防护。深度参与网络空间全球治理和国际规则制定，积极拓展国际网络安全合作。

原文链接：

https://h.xinhuaxmt.com/vh512/share/13005293

往期精彩推荐

今日（2026年3月20日）OpenClaw 最新安全动态总结

今日（2026年3月19日）OpenClaw 最新安全动态总结

今日（2026年3月18日）OpenClaw 最新安全动态总结

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《安全热点周报：谷歌修复了两个在攻击中被利用的 Chrome 零日漏洞》