國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞400個，互聯網上出現“Tenda D301跨站腳本漏洞、Triologic Media Player緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

重磅！《數據安全法（草案）》全文發布！

《中華人民共和國數據安全法（草案）》在中國人大網公布。>>詳細

國家保密局就《國家秘密載體印制資質管理辦法（征求意見稿）》、《涉密信息系統集成資質管理辦法（征求意見稿）》公開征求意見

本辦法所稱涉密信息系統集成，是指涉密信息系統的規劃、設計、建設、監理和運行維護等活動。>>詳細

“乘風破浪”的電子招投標：規范安全助其突破發展

在交易雙方不直接見面和接觸的情況下，電子招投標幫助雙方撮合完成交易，有效促進信息流、物流、資金流循環，將在推進復工復產中發揮重要作用。>>詳細

鵝的天！蘿卜章坑了多少人……

企業如何規避“蘿卜章”的風險？唯有可靠的電子簽名才能終結“蘿卜章”的噩夢！>>詳細

直銷銀行首家！華為HMS服務！

杭銀直銷成功集成華為HMS Core 4.0服務，并充分利用華為HMS終端芯-端-云的能力為杭銀直銷華為終端用戶帶來更多、更好的金融產品和更安全的金融服務。>>詳細

安全威脅播報

上周漏洞基本情況

上周（6月29日-7月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞400個，其中高危漏洞83個、中危漏洞263個、低危漏洞54個。漏洞平均分值為5.46。上周收錄的漏洞中，涉及0day漏洞49個（占12%），其中互聯網上出現“Tenda D301跨站腳本漏洞、Triologic Media Player緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Illustrator是一套基于向量的圖像制作軟件。Adobe After Effects是一套視覺效果和動態圖形制作軟件。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Illustrator緩沖區溢出漏洞（CNVD-2020-36219、CNVD-2020-36222、CNVD-2020-36221、CNVD-2020-36220）、Adobe After Effects緩沖區溢出漏洞（CNVD-2020-36225、CNVD-2020-36224、CNVD-2020-36227、CNVD-2020-36226）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoSmall Business RV320等都是美國思科（Cisco）公司的一款VPN路由器。Cisco RV110W等都是美國思科（Cisco）公司的一款VPN防火墻路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以root權限執行任意命令。

CNVD收錄的相關漏洞包括：多款Cisco產品命令注入漏洞（CNVD-2020-35159、CNVD-2020-35161、CNVD-2020-35160、CNVD-2020-35162、CNVD-2020-35163、CNVD-2020-35166）、多款Cisco產品緩沖區溢出漏洞（CNVD-2020-35165、CNVD-2020-35167）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMMaximo Asset Management是一套綜合性資產生命周期和維護管理解決方案。IBM Security Secret Server是一套特權訪問管理解決方案。IBM Spectrum Protect Plus是一套數據保護平臺。IBM Maximo Asset Management是一套綜合性資產生命周期和維護管理解決方案。IBM MQ（IBMWebSphere MQ）是一款消息傳遞中間件產品。IBM MQ Appliance是一款用于快速部署企業級消息中間件的一體機設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務（段錯誤）等。

CNVD收錄的相關漏洞包括：IBM Maximo AssetManagement SQL注入漏洞（CNVD-2020-34981、CNVD-2020-34982）、IBM Security Secret Server信息泄露漏洞（CNVD-2020-34984、CNVD-2020-34985）、IBM Spectrum Protect Plus信息泄露漏洞（CNVD-2020-34983）、IBM MQ和IBM MQ Appliance信任管理問題漏洞、IBM MQ拒絕服務漏洞（CNVD-2020-34988）、IBM MQ權限提升漏洞（CNVD-2020-35725）。目前，廠商已經發布了上述漏洞的修補程序。

Intel產品安全漏洞

Intel Active Management Technology（AMT）是一套以硬件為基礎的計算機遠程主動管理技術軟件。Intel Converged Securityand Management Engine（CSME）是一款安全管理引擎。Intel TXE是一款使用在CPU（中央處理器）中具有硬件驗證功能的信任執行引擎。Intel PROSet/Wireless WiFiSoftware是一款無線網卡驅動程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，導致拒絕服務。

CNVD收錄的相關漏洞包括：Intel AMT輸入驗證錯誤漏洞（CNVD-2020-35708CNVD-2020-35710）、Intel CSME輸入驗證錯誤漏洞、Intel CSME緩沖區溢出漏洞（CNVD-2020-35715、CNVD-2020-35716）、Intel AMT信息泄露漏洞、Intel TXE權限提升漏洞、Intel PROSet/Wireless WiFi Software權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

GE Mark VIe Controller信任管理問題漏洞

GE Mark VIe Controller是美國通用電氣（GE）公司的一套工業集成控制系統。上周，GE Mark VIe Controller被披露存在信任管理問題漏洞。攻擊者可利用該漏洞以root權限訪問控制器。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行任意代碼。此外，Cisco、IBM、Intel等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意命令，導致拒絕服務等。另外，GE Mark VIe Controller被披露存在信任管理問題漏洞。攻擊者可利用該漏洞以root權限訪問控制器。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人大網、國家保密局、杭州銀行報道

責任編輯：韓希宇