國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞479個，互聯網上出現“D-Link DIR-816輸入驗證錯誤漏洞、Kirona Solutions Dynamic Resource Scheduling信息泄露漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

市場監管總局 人民銀行關于發布《金融科技產品認證目錄（第一批）》《金融科技產品認證規則》的公告

市場監管總局、人民銀行決定將支付技術產品認證擴展為金融科技產品認證，并確定了《金融科技產品認證目錄（第一批）》，制定了《金融科技產品認證規則》。>>詳細

中華人民共和國密碼法（全文）

本法所稱密碼，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。>>詳細

無紙化時代來臨 金融機構線上業務如何實現合法合規

李達提出可利用第三方電子證據保全系統，將采集的電子數據固化為便于司法采信和應用的電子證據。>>詳細

公安部整治網絡犯罪利益鏈 大數據、支付結算環節被劃重點

公安機關網安部門將圍繞為網絡犯罪提供幫助的主要環節、利益鏈條開展打擊整治，特別是為網絡犯罪提供作案工具、建設網站、大數據支撐、軟件開發及廣告推廣、支付結算等各個關鍵環節。>>詳細

這家汽車融資租賃公司開出的第一單有點特

用戶身份的真實性和有效性、電子合同內容的真實性、完整性、機密性與法律有效性能得到有力保障，簽約雙方都不用擔心合同可能遭篡改、偽造、抵賴的風險。>>詳細

工信部：深化中國東盟網絡安全合作 共同推動互聯互通安全發展

隨著新一代信息技術加快向實體經濟各領域滲透融合，網絡安全威脅和風險更加嚴峻復雜，對關鍵信息基礎設施、網絡數據和個人信息安全帶來新的挑戰。>>詳細

超聲波屏下指紋識別被破解 攻擊成本僅千余元

在觀眾接觸過一個玻璃水杯后，陳昱先是拿出手機拍攝觀眾留存在水杯上的指紋，隨后在手機上調試之后“克隆”了一個全新的指紋。>>詳細

澳大利亞：助力開放銀行發展，《消費者數據權利法》即將全面實施

澳大利亞政府表示，頒布《消費者數據權利法》是為了賦予澳大利亞居民更多的數據管控權，允許其選擇授信機構/平臺自主選擇分享數據。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年10月21日-27日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞479個，其中高危漏洞125個、中危漏洞324個、低危漏洞30個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞106個（占22%），其中互聯網上出現“D-Link DIR-816輸入驗證錯誤漏洞、Kirona Solutions Dynamic Resource Scheduling信息泄露漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是一款Web瀏覽器。Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android信息泄露漏洞（CNVD-2019-36440）、Google Android MNH提權漏洞（CNVD-2019-36641）、Google Chrome audio資源管理錯誤漏洞、Google Chrome V8資源管理錯誤漏洞（CNVD-2019-36924）、Google Chrome IndexedDB資源管理錯誤漏洞、Google Chrome WebRTC資源管理錯誤漏洞、Google Android拒絕服務漏洞（CNVD-2019-37159、CNVD-2019-37160）。其中，除“Google Android信息泄露漏洞（CNVD-2019-36440）、Google Android拒絕服務漏洞（CNVD-2019-37159、CNVD-2019-37160）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoWireless LAN Controller（WLC）Software是一套用于配置和管理WLC（無線局域網控制器）的軟件。Cisco IOS XE是為其網絡設備開發的一套基于Linux內核的模塊化操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco Wireless LAN ControllerSoftware輸入驗證錯誤漏洞、Cisco IOS XE虛擬化管理器CLI命令注入漏洞、Cisco IOS XE UTD拒絕服務漏洞、Cisco IOS XE拒絕服務漏洞（CNVD-2019-36642）、Cisco IOS XE NAT SIP ALG拒絕服務漏洞、Cisco IOS XE FTP ALG拒絕服務漏洞、Cisco IOS XE CTS PAC配置拒絕服務漏洞、Cisco IOS XE任意代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

ApplemacOS Catalina是一套專為Mac計算機所開發的專用操作系統。Apple iTunes for Windows是一款基于Windows平臺的媒體播放器應用程序。Apple iCloud for Windows是一款基于Windows平臺的云服務，它支持存儲音樂、照片、App和聯系人等。Apple Xcode是一套向開發人員提供的集成開發環境，它主要用于開發Mac OS X和iOS的應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Apple macOS Catalina IntelGraphics Driver組件內存破壞漏洞、Apple macOS Catalina AMD組件內存破壞漏洞、Apple macOS Catalina sips組件內存破壞漏洞、Apple iTunes和iCloudfor Windows內存破壞漏洞、Apple macOS Catalina內存破壞漏洞、Apple Xcode otool組件任意代碼執行漏洞（CNVD-2019-37180）、Apple Xcode ld64組件任意代碼執行漏洞（CNVD-2019-37184、CNVD-2019-37185）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼，從而可獲得與當前用戶相同的用戶權限。

CNVD收錄的相關漏洞包括：Microsoft Edge Chakra腳本引擎內存破壞漏洞（CNVD-2019-36634、CNVD-2019-36635、CNVD-2019-36637、CNVD-2019-36636、CNVD-2019-36876、CNVD-2019-36877、CNVD-2019-36878、CNVD-2019-36879）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

MATIO 'Mat_VarReadNextInfo4'函數緩沖區溢出漏洞

MATIO是一款用于讀寫二進制MATLAB MAT文件的開源C語言庫。上周，MATIO被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或造成拒絕服務。此外，Cisco、Apple、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，導致拒絕服務等。另外，MATIO被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家市場監督管理總局、中國人大網、證券日報網、未央網、中新經緯、天極網報道

責任編輯：韓希宇