國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞365個，互聯網上出現“CentOS Web Panel SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

科技司李偉：做好金融業標準化“十四五”發展規劃 助力現代金融體系建設

截至2020年2月，現行有效的金融國家標準65項、金融行業標準257項，在全國團體標準信息平臺公開金融團體標準22項。>>詳細

【中國人民銀行太原中心支行副行長 王山松】個人金融信息安全技防研究

本文通過梳理個人金融信息安全保護現狀，研究當前主流的隱私保護技術，并從法律、技術、內控等多角度、多層次提出加強個人金融信息保護的政策建議。>>詳細

3·15金融消費權益保護⑧ | 不要被虛擬貨幣交易平臺騙了

你以為可以通過虛擬貨幣賺大錢，殊不知平臺惦記的卻是你的本金。>>詳細

3·15金融消費權益保護⑨ |警惕“跑分”陷阱

“跑分”是指非法網絡平臺利用高額收益為誘餌，誘導群眾充值保證金獲取相應積分。>>詳細

手機App確實在偷聽你談話，方法死都想不到

偷聽這個詞不太好聽，不如換種說法——大數據。>>詳細

大數據展現防疫“硬實力” 技術應用提速還需重視數據安全

大數據是抗擊疫情、助力企業復工復產的有力技術手段，此次疫情也將推動更多企業加快數字化轉型，但在保護隱私方面，大數據的運用仍有改進空間，數據搜集和數據共享的安全問題不容忽視。>>詳細

網絡黑產的下一個目標：攝像頭泄露多少隱私？

針對云端，一些攝像頭的數據會傳至云端，黑客則通過滲透WEB訪問界面的子域名，進行信息竊取。>>詳細

Windows 10再曝嚴重漏洞，攻擊進行中，無補丁可用

微軟發出警告稱發現針對Windows用戶的“有限的定向攻擊”，攻擊者可以利用Adobe Type Manager庫中未修補的漏洞，遠程執行包括惡意軟件在內的代碼。>>詳細

安全威脅播報

上周漏洞基本情況

上周（3月16日-22日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞365個，其中高危漏洞103個、中危漏洞172個、低危漏洞90個。漏洞平均分值為5.49。上周收錄的漏洞中，涉及0day漏洞112個（占30%），其中互聯網上出現“CentOS Web Panel SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。IIS Server是其中的一個IIS（互聯網信息服務）服務器。Windows Graphics Device Interface（GDI）是其中的一個圖形設備接口。Defender Security Center是其中的一個計算機安全防護組件。Windows Installer是其中的一個基于Windows系統中的工具組件，主要用于管理和配置軟件服務。Microsoft Word是一套Office套件中的文字處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，獲取敏感信息等。

CNVD收錄的相關漏洞包括：Microsoft IIS服務器篡改漏洞、Microsoft Windows GDI信息泄漏漏洞（CNVD-2020-18166）、Microsoft Windows DefenderSecurity Center提權漏洞（CNVD-2020-18167、CNVD-2020-18165）、Microsoft WindowsInstaller提權漏洞（CNVD-2020-18389、CNVD-2020-18388）、Microsoft Windows GraphicsDevice Interface信息泄露漏洞（CNVD-2020-18394）、Microsoft Word遠程代碼執行漏洞（CNVD-2020-18523）。其中 “Microsoft IIS服務器篡改漏洞、Microsoft Windows Graphics Device Interface信息泄露漏洞（CNVD-2020-18394）、Microsoft Word遠程代碼執行漏洞（CNVD-2020-18523）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Intel產品安全漏洞

8thGeneration Intel Core Processor和7th Generation Intel CoreProcessor都是美國英特爾（Intel）公司的產品。8th Generation Intel Core Processor是一款第八代Core系列中央處理器（CPU）。7th Generation Intel Core Processor是一款第七代Core系列中央處理器（CPU）。Intel 6th Generation Core Processors是第六代Core（酷睿）系列中央處理器（CPU）產品。Intel Converged Security and Management Engine是一款安全管理引擎。Intel Server Platform Services是一款服務器平臺服務程序。Kernel subsystem是其中的一個內核子系統。Intel TXE是一款使用在CPU（中央處理器）中具有硬件驗證功能的信任執行引擎。Intel Core Processors是一款Intel Core系列中央處理器（CPU）。Intel Xeon Processors是一款Intel Xeon系列中央處理器（CPU）。Intel Trusted Execution Technology（TXT）是其中的一個可信執行技術組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼或導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Intel 8th Generation IntelCore Processor和7th Generation Intel Core Processor權限許可和訪問控制問題漏洞（CNVD-2020-18568、CNVD-2020-18567）、Intel Converged Security and Management Engine和Intel Server Platform Services Kernel subsystem授權問題漏洞、Intel TXE和Intel Converged Securityand Management Engine代碼注入漏洞、Intel TXE和Intel Converged Security and Management Engine權限許可和訪問控制問題漏洞、Intel Converged Security and Management Engine緩沖區溢出漏洞、Intel 6th Generation Core Processors及后系列緩沖區溢出漏洞（CNVD-2020-18605）、Intel Core Processors和IntelXeon Processors Intel TXT緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。Bluetooth是其中的一個藍牙組件。System是其中的一個系統組件。Netlink driver是其中的一個Netlink通信驅動程序。Framework是其中的一個Android框架組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限。

CNVD收錄的相關漏洞包括：Google Android System越界讀取漏洞（CNVD-2020-17463、CNVD-2020-17464）、Google Android Netlink driver越界寫入漏洞、Google Android緩沖區溢出漏洞（CNVD-2020-17484）、Google Android Framework權限提升漏洞（CNVD-2020-17499、CNVD-2020-17501）、Google Android Bluetooth緩沖區溢出漏洞（CNVD-2020-17377、CNVD-2020-17501）。其中“Google Android Netlink driver越界寫入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Photoshop，簡稱“PS”，是由Adobe公司開發和發行的圖像處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop緩沖區溢出漏洞（CNVD-2020-17966、CNVD-2020-17975、CNVD-2020-17967、CNVD-2020-17976、CNVD-2020-17977、CNVD-2020-17978）、Adobe Photoshop越界寫入漏洞（CNVD-C-2020-51496、CNVD-2020-17973）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adaware antivirus權限提升漏洞

Lavasoft Adaware antivirus是加拿大Lavasoft公司的一套殺毒軟件。上周，Lavasoft Adaware antivirus被披露存在權限提升漏洞。遠程攻擊者可借助惡意的DLL利用該漏洞提升權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，獲取敏感信息等。此外Intel、Google、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，導致緩沖區溢出或堆溢出等。另外，Lavasoft Adaware antivirus被披露存在權限提升漏洞。遠程攻擊者可借助惡意的DLL利用該漏洞提升權限。

中國電子銀行網綜合CNVD、央行、金融電子化、當代金融家、金融時報、21世紀經濟報道、IT之家、安全牛報道

責任編輯：韓希宇