國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞215個，互聯網上出現“Wordpress Ultimate Addons for Beaver Builder身份驗證繞過漏洞、GPAC緩沖區溢出漏洞（CNVD-2020-00232）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

李偉：做好數據治理推動數字化轉型

金融業要深刻認識數據資源的重要意義，切實做好金融數據治理工作，深挖數據價值、釋放數據潛能，加快推進數字化轉型，推動金融實現高質量發展。>>詳細

中國支付清算協會2019調研：生物識別技術接受度趨于穩定

報告顯示，在2019年閃付類產品使用比例較2018年明顯上升，指紋和人臉識別技術已被大部分用戶所接受。>>詳細

云環境下企業如何保障數據安全

從2002年起，國內就出現了以防止敏感信息泄露為目的的防水墻系統，數據防泄密領域先后發展了主機監控與審計、桌面管理、終端安全、補丁管理、移動存儲介質管理、終端準入等安全管理手段。>>詳細

移動金融APP順利備案 這些規范要遵守

由于之前沒有針對移動金融APP的強制性技術標準和檢測標準，使得移動金融APP產品猶如雜草般肆意生長，個人信息安全問題時有發生，直接威脅著人民群眾的財產安全。>>詳細

假冒借貸APP電信詐騙現高發態勢 90后成被騙主體占比達45%

假冒借貸APP騙局是2019年高發的電信詐騙手段，詐騙團伙通過假冒知名借貸類APP，以短信、網頁廣告等形式廣撒網，通過放貸前收取工本費、解凍費、保證金、擔保金等費用名目詐騙用戶錢財。>>詳細

從金融安全戰略視角強化非銀行支付機構業務監管研究 （上）

非銀行支付機構與銀行的客戶賬戶高度關聯，其業務操作直接影響銀行的資金流和客戶資金安全。>>詳細

開放與安全如何并重？首屆“數據互聯互通與安全發展”高峰論壇指路數據融合方法論

隨著數字經濟全球化的推進，互聯網上的數據規模越來越大，數據價值不斷提升，對于數據跨境的需求在客觀上增長很快。>>詳細

達摩院 2020 預測：量子霸權指日可待！

作為兩個最關鍵的技術里程碑，容錯量子計算和演示實用量子優勢將是量子計算實用化的轉折點。未來幾年內，真正達到其中任何一個都將是十分艱巨的任務，量子計算將進入技術攻堅期。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年12月30日-2020年1月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞215個，其中高危漏洞85個、中危漏洞119個、低危漏洞11個。漏洞平均分值為6.34。上周收錄的漏洞中，涉及0day漏洞108個（占50%），其中互聯網上出現“Wordpress Ultimate Addons for Beaver Builder身份驗證繞過漏洞、GPAC緩沖區溢出漏洞（CNVD-2020-00232）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Cisco產品安全漏洞

Cisco Data Center Network Manager (DCNM)是一套數據中心網絡管理器，可對網絡進行多協議管理，并對交換機的運行狀況和性能提供故障排除功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息，執行未授權操作，注入任意命令等。

CNVD收錄的相關漏洞包括：Cisco Data Center NetworkManager SOAP API路徑遍歷漏洞、Cisco Data Center NetworkManager REST API SQL注入漏洞、Cisco Data Center NetworkManager SOAP API SQL注入漏洞、Cisco Data Center NetworkManager REST API認證繞過漏洞、Cisco Data Center NetworkManager SOAP API認證繞過漏洞、Cisco Data Center NetworkManager REST API命令注入漏洞、Cisco Data Center NetworkManager SOAP API命令注入漏洞、Cisco Data Center NetworkManager REST API路徑遍歷漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞造成內存泄露，導致拒絕服務（系統資源耗盡），提升權限，修改配置并執行任意的系統命令。

CNVD收錄的相關漏洞包括：F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2020-00236、CNVD-2020-00238、CNVD-2020-00237、CNVD-2020-00244、CNVD-2020-00242）、F5 BIG-IP資源管理錯誤漏洞（CNVD-2020-00240）、F5 BIG-IP權限提升漏洞、F5 BIG-IP tmrouted內存泄露漏洞。其中，“F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2020-00236）、F5 BIG-IP tmrouted內存泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

AppleiOS是一套為移動設備所開發的操作系統。Apple tvOS是一套智能電視操作系統。Apple macOS Mojave是一套專為Mac計算機所開發的專用操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，執行遠程代碼，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：多款Apple產品WebKit組件緩沖區溢出漏洞（CNVD-2020-00207、CNVD-2020-00204、CNVD-2020-00209、CNVD-2020-00210、CNVD-2020-00213）、Apple iOS、tvOS和watchOS Wi-Fi組件信息泄露漏洞、Apple iOS和Apple watchOS Mail組件輸入驗證錯誤漏洞、Apple iOS和Apple watchOS Mail Message Framework組件資源管理錯誤漏洞。其中，“Apple iOS和Apple watchOS Mail MessageFramework組件資源管理錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞偽造Omnibox內容，執行任意代碼，造成堆損壞。

CNVD收錄的相關漏洞包括：Google Chrome WebSockets資源管理錯誤漏洞、Google Chrome JavaScript緩沖區溢出漏洞、Google Chrome緩沖區溢出漏洞（CNVD-2020-00271）、Google Chrome JavaScript組件緩沖區溢出漏洞（CNVD-2020-00275、CNVD-2020-00479、CNVD-2020-00480）、Google TensorFlow緩沖區溢出漏洞、Google Chrome輸入驗證錯誤漏洞（CNVD-2020-00482）。其中，“Google TensorFlow緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SonicWall SMA100緩沖區溢出漏洞

SonicWall SMA100是一款安全訪問網關設備。上周，SonicWall SMA100被披露存在緩沖區溢出漏洞。該漏洞源于網絡系統或產品在內存上執行操作時，未正確驗證數據邊界，導致向關聯的其他內存位置上執行了錯誤的讀寫操作。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Cisco產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息，執行未授權操作，注入任意命令等。此外，F5、Apple、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，執行遠程代碼，導致緩沖區溢出或堆溢出等。另外，SonicWall SMA100被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國金融雜志、中國信息安全、21世紀經濟報道、證券日報、金卡生活、移動支付網、CSDN報道

責任編輯：韓希宇