國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞609個，互聯網上出現“CHIYU BF430 TCP IP Converter跨站腳本漏洞、nopCommerce跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【全國金融標準化技術委員會副主任委員 李偉】扎實開展“領跑者”活動 踐行為民利企

鼓勵金融企業主動落實創新管理責任，進行企業標準自我聲明公開，秉持守正創新、安全可控、普惠民生、開放共贏的發展理念。>>詳細

新版《網上銀行系統信息安全通用規范》發布了！

2020年2月，中國人民銀行下發《關于<網上銀行系統信息安全通用規范>行業標準的通知》（銀發[2020]35號）。>>詳細

銀聯支付終端安全規范3.0實施 新增刷臉支付相關要求

UPTS 3.0管轄范圍相當廣泛，適用于所有接入銀聯網絡、受理銀聯卡支付交易的終端設備。在基礎卷中主要新增了刷臉付終端的相關要求。>>詳細

央行發布《個人金融信息保護技術規范》 無資質不得收集KYC等信息

《規范》規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，從安全技術和安全管理兩個方面，對個人金融信息保護提出了規范性要求。>>詳細

保安全促生產！“零接觸”數字證書辦理平臺無休堅守

數字證書在線辦理平臺是面向最終用戶，提供線上證書業務辦理的一站式互聯網服務平臺，具備業務資料填報、信息審核，費用支付、發票開具、快遞郵寄、進度查詢等全流程線上服務功能。>>詳細

工信部：做好疫情防控期間信息通信行業網絡安全保障工作

切實做好疫情防控和經濟社會運行的網絡安全支撐保障工作，確保疫情防控期間網絡基礎設施安全，防止發生重大網絡安全事件。>>詳細

一波在線操作解燃眉之急 企業防疫辦公兩不誤（二）

哪些常見場景可以輕松應用“云辦公”模式？效率有了，安全跟上來了嗎？可不可靠？是否合法可信？>>詳細

發改委：積極應對疫情創新做好招投標工作保障經濟平穩運行

相關單位要加快推進CA數字證書網絡共享，運用手機掃碼等技術實現免插介質完成身份驗證、簽名蓋章、加密解密等交易流程。>>詳細

【反欺詐】全民戰“疫”，常見欺詐套路需警惕！

中國支付清算協會反欺詐實驗室梳理了幾類常見的欺詐套路及其防范措施，提醒大家注意風險，謹防上當受騙。>>詳細

支付寶回應人臉識別“被騙”：極小概率事件，升級后可防可控

雙重密碼保護機制的意思是，只有在輸入過支付寶登錄密碼和支付密碼的手機上，才能使用刷臉支付。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2020年2月10日-16日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞609個，其中高危漏洞247個、中危漏洞300個、低危漏洞62個。漏洞平均分值為6.34。上周收錄的漏洞中，涉及0day漏洞155個（占25%），其中互聯網上出現“CHIYU BF430 TCP IP Converter跨站腳本漏洞、nopCommerce跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe FrameMaker是一款頁面排版軟件。上周，上述產品被披露存在越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe FrameMaker越界寫入漏洞（CNVD-2020-08146、CNVD-2020-08147、CNVD-2020-08148、CNVD-2020-08151、CNVD-2020-08149、CNVD-2020-08150、CNVD-2020-08152、CNVD-2020-08153）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMDB2是一套關系型數據庫管理系統。IBM Security DirectoryServer是一套使用了輕量級目錄訪問協議（LDAP）的企業身份管理軟件。IBM WebSphere Application Server Liberty是一款構建于Open Liberty項目之上的Java應用程序服務器。IBM Planning Analytics是一套業務規劃分析解決方案。IBM Security Access Manager Appliance是一款基于網絡設備的安全解決方案。IBM Security Secret Server是美國IBM公司的一套特權訪問管理解決方案。IBM Security IdentityManager是一套身份管理和治理解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，執行任意代碼，進行拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：IBM DB2 High PerformanceUnload load for LUW代碼問題漏洞、IBM Security DirectoryServer安全限制繞過漏洞、IBM Security DirectoryServer信息泄露漏洞（CNVD-2020-04412）、IBM WebSphere Application Server信息泄露漏洞、IBM Planning Analytics跨站請求偽造漏洞、IBM Security Access Manager Appliance XXE注入漏洞、IBM Security Secret跨站腳本漏洞、IBM Security Identity Manager目錄遍歷漏洞（CNVD-2020-04920）。其中，“IBM DB2 High PerformanceUnload load for LUW代碼問題漏洞、IBM Security DirectoryServer安全限制繞過漏洞、IBM Planning Analytics跨站請求偽造漏洞、IBM Security Access Manager Appliance XXE注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftWindows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft .NET Framework是編程模型，也是一個用于構建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的應用程序的開發平臺。Microsoft Windows Remote Desktop Gateway是一款基于Windows的遠程桌面網關。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows RemoteDesktop Gateway遠程代碼執行漏洞、Microsoft Edge腳本引擎內存破壞漏洞（CNVD-2020-08118）、Microsoft Windows遠程代碼執行漏洞（CNVD-2020-08130）、Microsoft .NET Framework遠程執行代碼漏洞（CNVD-2020-08131、CNVD-2020-08132）、Microsoft Windows Common Log File System Driver提權漏洞、Microsoft Windows Media Service提權漏洞、Microsoft ChakraCore和Edge內存破壞漏洞（CNVD-2020-08134）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Intel產品安全漏洞

Intel NUC Kit NUC7i5DNKE是一款迷你主機產品。Intel NUC 8 Mainstream Game Kit是一款小型臺式電腦。Intel NUC 8 Mainstream Game Mini Computer是一款小型臺式電腦。Intel PROSet/Wireless WiFi Software是一款無線網卡驅動程序。Intel Baseboard Management Controller（BMC）是一款基板管理控制器。Intel Renesas ElectronicsUSB是USB 3 Renesas Electronics適配器的驅動程序，該適配器位于許多常見的Intel主板中。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Intel NUC訪問控制錯誤漏洞、Intel NUC輸入驗證錯誤漏洞、Intel NUC緩沖區限制錯誤漏洞、Intel NUC越界寫入漏洞、Intel NUC整數溢出漏洞、Intel PROSet/Wireless WiFiSoftware緩沖區溢出漏洞、Intel Baseboard ManagementController授權問題漏洞、Intel Renesas ElectronicsUSB權限提漏洞。其中，“Intel Baseboard ManagementController授權問題漏洞、Intel Renesas ElectronicsUSB權限提漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat Keycloak跨站腳本漏洞

Red Hat Keycloak是一套為現代應用和服務提供身份驗證和管理功能的軟件。上周，Red Hat Keycloak被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。此外，IBM、Microsoft、Intel等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，提升權限，執行任意代碼，導致緩沖區溢出或堆溢出等。另外，Red Hat Keycloak被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部網站、發改委網站、中國支付清算協會、21世紀經濟報道、金融電子化、移動支付網報道

責任編輯：韓希宇