國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞715個，互聯網上出現“PHP-Fusion 'Edit Profile'任意文件上傳漏洞、Internet Download Manager堆棧緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

北京金融科技產業聯盟發布《移動終端安全金融盾規范》

隨著移動終端安全金融盾項目的大范圍推廣，市場需求逐漸發生變化，金融機構對金融盾服務系統建設的復雜性、金融盾終端普及度提出了更高的要求。>>詳細

CFCA加入數字化轉型伙伴行動 破解中小微企業“三不轉”難題

中國金融認證中心（CFCA）作為中國銀聯子公司，也是首批數字化轉型伙伴的一員，將植根“信息安全綜合服務提供商”的業務優勢，從數據安全、在線簽約與后續維權等多維度，全力幫扶中小微企業高效推進數字化轉型。>>詳細

央行通知開展專項摸排 金融科技應用如何確保合規

45號文的發布，一方面對前期各金融機構在金融科技應用方面所做的風險合規工作進行階段性驗收，另一方面也是為后續的金融科技監管方向提供實際的數據支撐。>>詳細

加強商用密碼在金融行業應用 保障金融安全

密碼不僅可以實現對信息的加密保護、完整性保護，還可以實現對實體身份和信息來源的安全認證。>>詳細

一圖讀懂《網絡安全審查辦法》

關鍵信息基礎設施運營者采購網絡產品的服務，影響或可能影響國家安全的，應當按照《辦法》進行網絡安全審查。>>詳細

手機操作系統強化隱私設置對今后App個人信息保護帶來哪些改變？

隨著治理工作持續推進，相關管理要求、技術規范日益完善，有效指導了App運營者普遍更新了隱私政策、優化了授權方式、設置了注銷渠道，提升了個人信息保護措施。>>詳細

市場監管總局 國家密碼管理局關于發布 《商用密碼產品認證目錄（第一批）》 《商用密碼產品認證規則》的公告

現對《商用密碼產品認證目錄（第一批）》《商用密碼產品認證規則》予以發布，自發布之日起實施。>>詳細

【基礎回顧】對稱、非對稱加密算法以及PKI的相關知識

法定數字貨幣賴以運行的一大技術支柱就是密碼算法，其既要通過密碼學算法保證數字貨幣用戶安全，又要通過技術手段建立可控匿名機制，實現一定條件下的可追溯，以進一步增強法定數字貨幣安全性。>>詳細

【安全知識】常見電信詐騙盤點之“虛假貸款篇”

隨著近年來網絡貸款平臺日益增多，一些詐騙分子也使出了新花招，打著低門檻、高額度的幌子意圖渾水摸魚、實施詐騙。>>詳細

安全威脅播報

上周漏洞基本情況

上周（5月4日-10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞715個，其中高危漏洞331個、中危漏洞316個、低危漏洞68個。漏洞平均分值為6.39。上周收錄的漏洞中，涉及0day漏洞512個（占72%），其中互聯網上出現“PHP-Fusion 'Edit Profile'任意文件上傳漏洞、Internet Download Manager堆棧緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞升權限。

CNVD收錄的相關漏洞包括：Google Android System權限提升漏洞（CNVD-2020-27126、CNVD-2020-27124、CNVD-2020-27128、CNVD-2020-27127）、Google Android Framework權限提升漏洞（CNVD-2020-27135、CNVD-2020-27134、CNVD-2020-27136）、Google Android Mediaframework權限提升漏洞（CNVD-2020-27133）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

HuaweiHonor V10是一款智能手機產品。Huawei Lion-AL00C是一款智能手機。Huawei ODS是一款基于對象的存儲設備。Huawei PCManager是一套電腦管理軟件。Huawei AR3200是一款企業級路由器。Huawei Taurus-AL00B是一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取設備部分權限，造成信息泄露，導致設備異常（拒絕服務）。

CNVD收錄的相關漏洞包括：Huawei Honor V10越界讀漏洞（CNVD-2020-27112、CNVD-2020-27116、CNVD-2020-27114）、Huawei Lion-AL00C輸入驗證錯誤漏洞、Huawei OSD權限提升漏洞、Huawei PCManager權限提升漏洞（CNVD-2020-27120）、Huawei AR3200授權問題漏洞、Huawei Taurus-AL00B信息泄露漏洞。其中，“Huawei AR3200授權問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoFirepower Threat Defense（FTD）是一套提供下一代防火墻服務的統一軟件。Cisco Hosted Collaboration Mediation Fulfillment（HCM-F）是一款托管協作解決方案（HCS）的核心管理組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感數據，將用戶重定向到特定的惡意網頁，以root用戶訪問權限運行任何系統命令等。

CNVD收錄的相關漏洞包括：Cisco Firepower ThreatDefense數據偽造問題漏洞、Cisco Firepower ThreatDefense訪問控制錯誤漏洞（CNVD-2020-27106、CNVD-2020-27107）、Cisco Firepower ManagementCenter輸入驗證錯誤漏洞（CNVD-2020-27105）、Cisco Firepower Management Center信任管理問題漏洞、Cisco Firepower Management Center輸入驗證錯誤漏洞（CNVD-2020-27103）、Cisco Firepower ManagementCenter跨站腳本漏洞（CNVD-2020-27108）、Cisco Hosted Collaboration Mediation Fulfillment代碼問題漏洞。其中，“Cisco Firepower Management Center信任管理問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是WordPress基金會的一套使用PHP語言開發的博客平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，提升權限，執行客戶端代碼等。

CNVD收錄的相關漏洞包括：WordPress訪問限制繞過漏洞（CNVD-2020-27079）、WordPress跨站腳本漏洞（CNVD-2020-27078、CNVD-2020-27082、CNVD-2020-27081）、WordPress Advanced Woo Search信息泄露漏洞、WordPress mappress-google-maps-for-wordpress代碼問題漏洞、WordPress權限提升漏洞（CNVD-2020-27089）、WordPress data-tables-generator-by-supsystic跨站請求偽造漏洞。其中，除“WordPress跨站腳本漏洞（CNVD-2020-27078、CNVD-2020-27082、CNVD-2020-27081）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ABBS Software Audio Media Player緩沖區溢出漏洞

ABBS Software Audio Media Player是一款音頻播放器。上周，ABBS Software Audio Media Player被披露存在緩沖區溢出漏洞。該漏洞源于網絡系統或產品在內存上執行操作時，未正確驗證數據邊界，導致向關聯的其他內存位置上執行了錯誤的讀寫操作，攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。此外Huawei、Cisco、WordPress等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，提升權限，執行客戶端代碼，導致設備異常（拒絕服務）等。另外，ABBS Software Audio Media Player被披露存在緩沖區溢出漏洞攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家密碼管理局、北京金融科技產業聯盟、網信中國、中國信通院CAICT、App個人信息舉報、工銀融e行、移動支付網報道

責任編輯：韓希宇