國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞406個，互聯網上出現“WordPressACF-Frontend-Display插件文件上傳漏洞、Libntlm緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

安全便捷：支付“國家隊”全新智能產品“刷臉付”閃耀發布

作為全新的智能金融產品，“刷臉付”在信息保護方面，人臉特征采集明確獲得客戶授權，嚴控數據使用范圍，采用支付標記化、多方安全計算、分散存儲等技術，嚴防信息泄漏、篡改與濫用。>>詳細

刷臉支付到底安不安全，怎么才能安心刷？

支付的便捷性必須以安全為前提，注意保護用戶個人隱私。>>詳細

個人信息安全規范更新征求意見稿公布，八方面有改動

國家標準GB/T 35273《信息安全技術 個人信息安全規范》更新后的征求意見稿公布。>>詳細

密碼法二審稿加入“安全風險評估” 商用密碼將迎來“黃金時代”

密碼法草案一審稿將密碼分為核心密碼、普通密碼和商用密碼，并對密碼進行分類管理。核心密碼、普通密碼屬于國家秘密，核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級。>>詳細

烏鎮互聯網大會開幕： 數字經濟下構建網絡安全空間

世界各國雖然國情不同，經濟發展階段不同，但對于互聯網應用和安全的需求、對數字經濟的發展需求卻是一致的。>>詳細

個人信息保護嚴監管時代來了！你準備好了嗎？

針對金融行業個人信息保護監管要求日益加強，銀行等金融機構應重點做好三個方面工作。>>詳細

部署慢、不穩定、體驗差！傳統銀企直連怎么破

2018年，寧夏銀行與中國金融認證中心（CFCA）合作推出基于硬件加密的“易企連”解決方案，并于2019年上半年在寧夏水務投資集團銀企業務中落地實施。>>詳細

硬核！CFCA完成國內首個EAL5+項目檢測！

近日，由中國金融認證中心（CFCA）信息安全實驗室負責檢測的一款安全芯片，成功獲得了由中國網絡安全審查技術與認證中心(CCRC)頒發的IT產品信息安全認證EAL5增強級（EAL5+）認證證書。>>詳細

網絡小爬蟲莫墮落成為小扒手

爬蟲技術本身并不是“害蟲”，正像搜索引擎一樣，作為一種計算機技術，具有技術中立性。>>詳細

三星手機平板等存指紋漏洞 中行發通告暫時關閉功能

為保障用戶登錄安全，中國銀行手機銀行APP已暫時關閉該型號手機的指紋登錄功能。其他品牌型號手機、平板指紋登錄不受影響。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年10月14日-20日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞406個，其中高危漏洞100個、中危漏洞270個、低危漏洞36個。漏洞平均分值為5.60。上周收錄的漏洞中，涉及0day漏洞84個（占21%），其中互聯網上出現“WordPressACF-Frontend-Display插件文件上傳漏洞、Libntlm緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Adobe產品安全漏洞

Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是Adobe公司開發的一款PDF文件閱讀軟件。上周，該產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Acrobat/Reader內存錯誤引用漏洞（CNVD-2019-35604、CNVD-2019-35605、CNVD-2019-35606、CNVD-2019-35607、CNVD-2019-35608、CNVD-2019-35610、CNVD-2019-35611、CNVD-2019-35609）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftInternet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。Microsoft SharePoint是一套企業業務協作平臺。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Dynamics 365是一套適用于跨國企業的ERP業務解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，獲取信息，造成內存損壞等。

CNVD收錄的相關漏洞包括：Microsoft InternetExplorer遠程代碼執行漏洞（CNVD-2019-35567、CNVD-2019-35571）、Microsoft SharePoint跨站腳本漏洞（CNVD-2019-35572）、Microsoft InternetExplorer和Microsoft Edge欺騙漏洞、Microsoft Graphics組件信息泄露漏洞、Microsoft Dynamics 365跨站腳本漏洞（CNVD-2019-35573）、Microsoft Windows Hyper-V信息泄露漏洞（CNVD-2019-35574）、Microsoft InternetExplorer緩沖區溢出漏洞（CNVD-2019-35806）。其中，“Microsoft Internet Explorer遠程代碼執行漏洞（CNVD-2019-35567、CNVD-2019-35571）、Microsoft Internet Explorer緩沖區溢出漏洞（CNVD-2019-35806）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是WordPress基金會的一套使用PHP語言開發的博客平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行非法SQLmingl，修改網絡系統或組件的預期的執行控制流等。

CNVD收錄的相關漏洞包括：WordPress LifterLMS插件提權漏洞、WordPress wp-editor插件權限許可和訪問控制問題漏洞、WordPress new-contact-form-widget插件SQL注入漏洞、WordPress wti-like-post插件SQL注入漏洞、WordPress liveforms插件跨站腳本漏洞、WordPress events-manager插件代碼注入漏洞、WordPress liveforms插件SQL注入漏洞、WordPressbroken-link-manager插件SQL注入漏洞。其中，除“WordPress liveforms插件跨站腳本漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

cPanel產品安全漏洞

cPanel是美國cPanel公司的一套基于Web的自動化主機托管平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取私人郵件，執行任意代碼，進行任意文件名和文件chmod操作等。

CNVD收錄的相關漏洞包括：cPanel輸入驗證錯誤漏洞（CNVD-2019-36129、CNVD-2019-36128、CNVD-2019-36133、CNVD-2019-36132、CNVD-2019-36131、CNVD-2019-36136）、cPanel授權問題漏洞（CNVD-2019-36140）、cPanel代碼問題漏洞。其中，“cPanel輸入驗證錯誤漏洞（CNVD-2019-36136）、cPanel授權問題漏洞（CNVD-2019-36140）、cPanel代碼問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit PhantomPDF Dwg2Pdf DXF文件解析內存破壞遠程代碼執行漏洞

Foxit PhantomPDF是中國福昕（Foxit）公司的一款PDF文檔閱讀器。上周，Foxit PhantomPDF被披露存在遠程代碼執行漏洞。攻擊者可利用漏洞在當前進程的上下文中執行代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。此外，Microsoft、WordPress、cPanel等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，提升權限，執行任意代碼，造成內存損壞等。另外，Foxit PhantomPDF被披露存在遠程代碼執行漏洞。攻擊者可利用漏洞在當前進程的上下文中執行代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、第一財經、證券時報、每日經濟新聞、中新經緯報道

責任編輯：韓希宇