本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，微软修复了国家安全局上报的Windows严重漏洞；App年度报告刷屏背后：隐私问题引争议；交通运输部等六部门:网约车平台采集的个人信息保存期限不少于2年；国家计算机病毒应急处理中心监测发现二十四款违法移动应用。想要了解详情，来看本周的BUF大事件吧！

观看视频

内容梗概

微软修复了美国国家安全局上报的Windows严重漏洞

在本月的补丁星期二，微软修补了49个安全漏洞，其中最受瞩目的是涉及证书验证绕过的漏洞CVE-2020-0601。根据微软对该漏洞的说明，黑客可以利用该漏洞，欺骗程式码签章凭证，使恶意程式被误认为来自可信的来源。黑客一旦得手，就可以截取用户的加密通讯并将其解密。由于该漏洞是由美国国安局所发现并主动提交给微软的安全漏洞，因此被不少媒体放大解读，称之为“微软超级漏洞”。微软内部人员称：部分媒体存在夸大事实、发布不负责任的虚假内容等情况，目前并未有证据显示该漏洞已被黑客利用，用户可通过Windows 10更新功能自动修补该漏洞。 

App年度报告刷屏背后：隐私问题引争议

2017年，网易云年度歌单横空出世，引爆了各大社交平台，随后，支付宝年度账单加入战场，QQ音乐、知乎、饿了么、哔哩哔哩等互联网公司纷纷替用户做起了年终总结。当然，这一切都是基于用户数据。今年，网易云音乐年度报告如期而至，但其中新增的“悄悄拜访”却让不少用户大呼尴尬。有用户认为：这一数据属于个人隐私，网易云音乐无权获得；此外，既然已经“悄悄拜访”，为什么还要收集使用？ 

交通运输部等六部门:网约车平台采集的个人信息保存期限不少于2年

近日，《关于修改〈网络预约出租汽车经营服务管理暂行办法〉的决定》经交通运输部第26次部务会议通过，并经工业和信息化部、公安部、商务部、市场监管总局、国家网信办同意。《办法》规定：网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流。 

国家计算机病毒应急处理中心监测发现二十四款违法移动应用

国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现，多款违法、违规有害移动应用存在隐私不合规行为，包括《深圳航空》、《遨游旅行》等未经用户同意收集个人隐私信息，《12306买票》、《航旅纵横》、《民生银行》、《搜狗浏览器》等未向用户明示申请的全部隐私权限。针对上述情况，在此提醒广大手机用户首先不要下载这些违法有害移动应用。其次，建议打开手机中防病毒APP的“实时监控”功能，对手机操作进行主动防御。 

本文作者：Darry端，FreeBuf视频组荣誉出品，转载须注明来自FreeBuf.COM