國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞419個，互聯網上出現“D-Link DWL-2600認證遠程命令注入漏洞、Windscribe權限提升漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

姓名、手機號、身份證號同時泄露會有什么后果？

信息時代，大數據在方便生活的同時也增加了信息泄露的幾率，網絡詐騙、電信詐騙等黑灰產業鏈早已不像從前那樣“漫天撒網”。>>詳細

密碼法背景下的商用密碼應用及挑戰

密碼法的實施，有利于進一步推動商用密碼應用的法治化、科學化、規范化，對建立以商用密碼從業單位為主體、商用密碼市場為導向、產學研深度融合的密碼技術創新體系有著重要促進作用。>>詳細

疫情期間“不打烊”的云測試平臺，為什么能幫助企業降本增效？

自疫情爆發以來，測試人員雖不能在現場辦公，但可通過平臺進行測試任務的創建、發起及自動化測試等操作，并能通過遠程真機的方式為APP開發方提供機器的使用。>>詳細

CNCERT發布《2019年我國互聯網網絡安全態勢綜述》報告

2019年態勢報告立足于CNCERT網絡安全宏觀監測數據與工作實踐，報告涉及2019年典型網絡安全事件、網絡安全新趨勢及日常網絡安全事件應急處置實踐等內容。>>詳細

【防范詐騙】學習安全知識，防范電信詐騙！

不法分子利用日益發展的通信技術和快捷支付技術，在非接觸的狀態下，設計花樣繁多的騙局實施詐騙，當前電信網絡詐騙案仍處于高發多發態勢。>>詳細

暗網盜賣金融信息 銀行賬戶安全面臨新挑戰

我國開立銀行賬戶113.52億戶，全國人均擁有銀行賬戶數達8.09戶。這些賬戶安全誰來守護？>>詳細

安卓最新身份認證方式：根據“信任分數”解鎖設備或登錄應用程序

Project Abacus旨在刪除密碼和PIN身份驗證，以支持生物識別?？雌饋?，用戶將根據“信任分數”解鎖設備或登錄應用程序。>>詳細

蘋果電郵應用驚現安全漏洞！或被黑客利用了八年

雖然有證據表明這些漏洞是在目標設備上執行的，但電子郵件本身并不存在危險。這表明襲擊者刪除這些電子郵件是為了掩蓋他們的蹤跡。>>詳細

安全威脅播報

上周漏洞基本情況

上周（4月13日-19日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞419個，其中高危漏洞204個、中危漏洞182個、低危漏洞33個。漏洞平均分值為6.81。上周收錄的漏洞中，涉及0day漏洞190個（占45%），其中互聯網上出現“D-Link DWL-2600認證遠程命令注入漏洞、Windscribe權限提升漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apple產品安全漏洞

Apple macOS Catalina是美國蘋果（Apple）公司的一套專為Mac計算機所開發的專用操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，或造成系統意外終止或讀取內核內存。

CNVD收錄的相關漏洞包括：Apple macOS CatalinaBluetooth組件內存破壞漏洞（CNVD-2020-22464、CNVD-2020-22469、CNVD-2020-23217）、Apple macOS Catalina Bluetooth組件緩沖區溢出漏洞（CNVD-2020-22473、CNVD-2020-23213、CNVD-2020-23212）、Apple macOS Catalina AppleHSSPI Support組件內存破壞漏洞、Apple macOS CatalinaAppleGraphicsControl組件內存破壞漏洞。其中，除“Apple macOS CatalinaBluetooth組件緩沖區溢出漏洞（CNVD-2020-22473、CNVD-2020-23213、CNVD-2020-23212）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是WordPress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行客戶端代碼，導致網站無法訪問等。

CNVD收錄的相關漏洞包括：WordPress Contact Form 7Datepicker跨站腳本漏洞、WordPress LifterLMS插件代碼問題漏洞、WordPress 301 Redirects-Easy Redirect Manager數據偽造問題漏洞、WordPress all-in-one-seo-pack插件跨站腳本漏洞、WordPress ultimate-faqs插件輸入驗證錯誤漏洞、WordPress Media Library Assistant信息泄露漏洞、WordPress Responsive Poll授權問題漏洞、WordPress Snap Creek Duplicator和DuplicatorPro路徑遍歷漏洞。其中，除“WordPress Contact Form 7Datepicker跨站腳本漏洞、WordPressall-in-one-seo-pack插件跨站腳本漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMQRadar SIEM是美國IBM公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM QRadar SIEM信息泄露漏洞（CNVD-2020-23040、CNVD-2020-23041、CNVD-2020-23044）、IBM QRadar SIEM跨站腳本漏洞（CNVD-2020-23043）、IBM QRadar SIEM文件上傳漏洞、IBM QRadar SIEM命令執行漏洞、IBM QRadar SIEM權限提升漏洞、IBM QRadar SIEM服務器端請求偽造漏洞（CNVD-2020-23049）。其中“IBM QRadar SIEM文件上傳漏洞、IBM QRadar SIEM命令執行漏洞、IBM QRadar SIEM權限提升漏洞、IBM QRadar SIEM服務器端請求偽造漏洞（CNVD-2020-23049）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。DirectX是其中的一個多媒體系統鏈接庫。Windows Hyper-V是其中的一個虛擬化產品，支持在Windows中創建虛擬機。Windows Jet Database Engine是其中的一個數據庫引擎。Microsoft Office是一款辦公軟件套件產品。該產品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，破壞內存。

CNVD收錄的相關漏洞包括：Microsoft Windows DirectX提權漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-23435）、Microsoft Windows Hyper-V遠程代碼執行漏洞（CNVD-2020-23433）、Microsoft Windows JetDatabase Engine遠程代碼執行漏洞（CNVD-2020-23432）、Microsoft Office遠程執行代碼漏洞（CNVD-2020-23440）、Microsoft Internet Explorer內存破壞漏洞（CNVD-2020-23445）、Microsoft InternetExplorer VBScript Engine遠程執行代碼漏洞、Microsoft Edge內存破壞漏洞（CNVD-2020-23446）。上述漏洞的綜合評級為“高?！?，目前，廠商已經發布了上述漏洞的修補程序。

Cisco Webex Meetings訪問控制錯誤漏洞

Cisco Webex Meetings是美國思科（Cisco）公司的一套視頻會議解決方案。上周，Cisco Webex Meetings被披露存在訪問控制錯誤漏洞。該漏洞源于當會議室主持人查看共享的多媒體文件時不會彈出安全警告對話框。遠程攻擊者可借助主持人身份共享文件并誘使之前的主持人瀏覽該多媒體文件利用該漏洞繞過安全限制。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apple產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，或造成系統意外終止或讀取內核內存。此外WordPress、IBM、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。另外，Cisco Webex Meetings被披露存在訪問控制錯誤漏洞。攻擊者可借助主持人身份共享文件并誘使之前的主持人瀏覽該多媒體文件利用該漏洞繞過安全限制。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家密碼管理局、CNCERT、中國互聯網協會、證券時報網、上行快線、網易科技、開源中國報道

責任編輯：韓希宇