國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞336個，互聯網上出現“Zyxel NBG-418N v2 Modem跨站請求偽造漏洞、Joomla!組件prayercenter 'id' SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

首批擬備案移動金融APP名單公示 CFCA檢測過半

中國金融認證中心（CFCA）作為“金融科技產品認證”檢測指定的檢測機構之一，全力推動移動金融APP合規備案，首批擬備案的37家共73款APP中，CFCA檢測了19家共37款。>>詳細

央行劃重點！一圖梳理電信網絡詐騙中的那些“套路”

現今電信網絡詐騙猖獗，危害突出，內容形式緊跟社會熱點，針對不同群體，量身定做，可謂詐騙套路層出不窮，手段花樣翻新不斷，現給您整理一套常見防騙攻略。>>詳細

踐行“支付為民” 守護人民“錢袋子” ——人民銀行打擊電信網絡詐騙、跨境賭博出實招

建設運行并持續完善電信網絡新型違法犯罪交易風險事件管理平臺，接入4249家銀行和120家支付機構，大幅提升公安機關資金查控和止付效率，為人民群眾挽回大量經濟損失。>>詳細

《中華人民共和國密碼法》出臺了 你了解嗎？

中國金融認證中心（CFCA）作為國家重要的金融信息安全基礎設施攜手北京市商用密碼協會，積極響應國家法規要求，著力于全方位信息安全體系構建，保障信息共享時代密碼安全。>>詳細

金融支付產品安全嗎？信息安全認證來解！

銀聯卡支付應用軟件安全檢測，是對于接入銀聯網絡的儲存、處理、傳輸持卡人敏感信息和授權結算數據的支付應用軟件產品進行檢測認證。>>詳細

全國政協委員、人民銀行杭州中心支行行長殷興山：建議加快個人信息保護立法

殷興山建議：加快立法進程，通過專門立法，統一對公私領域的個人信息保護，明確運營主體收集、使用個人信息的原則、程序和保密、保護義務，不當使用、保護不力的法律責任以及監管部門的監督手段和處罰措施等。>>詳細

姣姣說消保丨誰來保護我們的個人信息安全？

交行以維護消費者權益為出發點和落腳點，嚴格按照國家法律法規、監管規定和銀行內部管控制度要求，切實做好客戶信息保護工作，堅決杜絕泄露客戶個人信息的行為。>>詳細

保護個人隱私的小技巧

信息安全保護意識的培養是最重要的，應盡量避免在微信、微博等社交軟件上透露個人信息，并定期借助安全軟件和權限管理來殺毒并保護個人信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（5月11日-17日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞336個，其中高危漏洞115個、中危漏洞199個、低危漏洞22個。漏洞平均分值為6.16。上周收錄的漏洞中，涉及0day漏洞154個（占46%），其中互聯網上出現“Zyxel NBG-418N v2 Modem跨站請求偽造漏洞、Joomla!組件prayercenter 'id' SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Actions Http-Client是一款輕量級的HTTP客戶端。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft Word是一套Office套件中的文字處理軟件。Microsoft Outlook是一套電子郵件應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，損壞內存等。

CNVD收錄的相關漏洞包括：Microsoft ActionsHttp-Client信息泄露漏洞、Microsoft ChakraCore和Edge遠程代碼執行漏洞（CNVD-2020-28238）、Microsoft Win32k權限提升漏洞（CNVD-2020-28432）、Microsoft Windows ActiveX Installer Service權限提升漏洞、Microsoft Windows Network Driver Interface Specification信息泄露漏洞（CNVD-2020-28440）、Microsoft Windows WorkFolder服務權限提升漏洞、Microsoft Windows SearchIndexer權限提升漏洞、Microsoft Word和Microsoft Outlook緩沖區溢出漏洞。其中，除“Microsoft Windows WorkFolder服務權限提升漏洞、Microsoft Windows SearchIndexer權限提升漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoAdaptive Security Appliances Software（ASASoftware）是一套防火墻和網絡安全平臺。Cisco Firepower ThreatDefense（FTD）是一套提供下一代防火墻服務的統一軟件。Cisco Aironet SeriesAccess Points Software是一套使用在Aironet無線接入點設備中的軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，覆蓋任意文件，并修改受影響設備的底層操作系統，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco Adaptive SecurityAppliances Software授權問題漏洞、Cisco Firepower ThreatDefense資源管理錯誤漏洞（CNVD-2020-27772、CNVD-2020-27775、CNVD-2020-27774、CNVD-2020-27773）、Cisco Firepower Device ManagerOn-Box輸入驗證錯誤漏洞、Cisco Firepower ThreatDefense資源管理錯誤漏洞（CNVD-2020-27776）、Cisco Aironet Series Access Points Software資源管理錯誤漏洞。其中，除“Cisco Firepower Threat Defense資源管理錯誤漏洞（CNVD-2020-27774）、Cisco Firepower Threat Defense訪問控制錯誤漏洞（CNVD-2020-27773）、Cisco Aironet SeriesAccess Points Software資源管理錯誤漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMData Risk Manager是一款數據風險管理器。IBM WebSphere ApplicationServer Liberty是一款構建于Open Liberty項目之上的Java應用程序服務器。IBM UrbanCode Deploy（UCD）是一套應用自動化部署工具。IBM Cloud App Management是一套基于微服務架構的基礎架構監控解決方案。IBM MQ是一款消息傳遞中間件產品。IBM MQ Appliance是一款用于快速部署企業級消息中間件的一體機設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意命令，造成拒絕服務（內存泄露）等。

CNVD收錄的相關漏洞包括：IBM Data Risk Manager路徑遍歷漏洞、IBM Data Risk Manager代碼執行漏洞、IBM Data Risk Manager操作系統命令注入漏洞、IBM Data Risk Manager授權問題漏洞、IBM WebSphere Application Server Liberty授權問題漏洞、IBM UrbanCode Deploy權限提升漏洞（CNVD-2020-27949）、IBM MQ Appliance拒絕服務漏洞（CNVD-2020-27948）、IBM Cloud App Management信息泄露漏洞。其中，“IBM Data Risk Manager代碼執行漏洞、IBM Data Risk Manager操作系統命令注入漏洞、IBM Data Risk Manager授權問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR WAC505是一款無線接入點（AP）。NETGEAR D6100是一款無線調制解調器。NETGEAR WNDR3700是一款無線路由器。NETGEAR R6100是一款無線路由器。NETGEAR R9000是一款無線路由器。NETGEAR R7800是一款無線路由器。NETGEAR D7800是一款無線調制解調器。NETGEAR EX2700是一款無線網絡信號擴展器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：多款NETGEAR產品緩沖區溢出漏洞（CNVD-2020-28140、CNVD-2020-28235、CNVD-2020-28242、CNVD-2020-28241、CNVD-2020-28244、CNVD-2020-28243、CNVD-2020-28247、CNVD-2020-28246）。其中，“多款NETGEAR產品緩沖區溢出漏洞（CNVD-2020-28140、CNVD-2020-28235）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Accusoft ImageGear緩沖區溢出漏洞（CNVD-2020-27757）

Accusoft ImageGear是一款用于圖像處理的軟件開發工具包（SDK）。上周，Accusoft ImageGear被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞借助特制的PNG文件執行代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在權限提升漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，損壞內存等。此外Cisco、IBM、NETGEAR等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，提升權限，執行任意命令，造成拒絕服務（內存泄露），導致緩沖區溢出或堆溢出等。另外，Accusoft ImageGear被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞借助特制的PNG文件執行代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、每日經濟新聞、交通銀行、微青銀報道

責任編輯：韓希宇