國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞481個，互聯網上出現“Open eClass SQL注入漏洞、Exhibitor命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部開展縱深推進APP侵害用戶權益專項整治行動

重點整治APP、SDK未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意，私自收集用戶個人信息的行為。>>詳細

網信辦等四部門：推進App個人信息安全認證工作

中央網信辦、工業和信息化部、公安部、國家市場監管總局四部門7月22日在京召開會議，啟動2020年App違法違規收集使用個人信息治理工作。>>詳細

銀行二維碼收單業務洗錢風險防控

以二維碼支付后再返還資金達到套現目的，最危險的是不法分子將二維碼收單業務用于掩飾網賭、色情平臺等犯罪所得并進行漂白，給銀行的反洗錢工作帶來巨大風險。>>詳細

央行福州支行：停止銀行賬戶開戶數量考核 推進生物驗證身份應用

人民銀行福州中心支行印發《關于進一步做好銀行賬戶管理有關工作的通知》（福銀〔2020〕141號），進一步加強賬戶開立、交易管控、異常監測等環節的銀行賬戶風險管理，繼續壓實銀行賬戶管理主體責任。>>詳細

【知識普及】銀行拒絕開戶、禁止提供金融服務的制度依據

你是否遇到過銀行拒絕你的開戶請求？是否遇到過銀行拒絕你的交易請求？這樣做銀行是否合理、是否有權這樣做？>>詳細

關于《網絡安全標準實踐指南—移動互聯網應用程序（App）系統權限申請使用指引（征求意見稿）》公開征求意見的通知

為幫助App運營者規范App系統權限申請和使用行為，防范因系統權限不當利用造成的個人信息安全風險，秘書處組織編制了《網絡安全標準實踐指南—移動互聯網應用程序（App）系統權限申請使用指引（征求意見稿）》。>>詳細

關于征求《信息安全技術 SM9密碼算法使用規范》等3項國家標準意見的通知

全國信息安全標準化技術委員會歸口的《信息安全技術 SM9密碼算法使用規范》等3項國家標準現已形成標準征求意見稿。>>詳細

安全威脅播報

上周漏洞基本情況

上周（7月20日-26日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞481個，其中高危漏洞147個、中危漏洞290個、低危漏洞44個。漏洞平均分值為5.75。上周收錄的漏洞中，涉及0day漏洞204個（占42%），其中互聯網上出現“Open eClass SQL注入漏洞、Exhibitor命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Excel是一款Office套件中的電子表格處理軟件。Microsoft Visual StudioCode是的一款開源的代碼編輯器。Microsoft OneDrive是一款云備份應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞創建管理員賬戶，獲取權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Windows Runtime權限提升漏洞（CNVD-C-2020-159267、CNVD-C-2020-159268、CNVD-2020-40883）、Microsoft Windows遠程代碼執行漏洞（CNVD-2020-40876）、Microsoft Remote Desktop Client遠程代碼執行漏洞、Microsoft Excel緩沖區溢出漏洞（CNVD-2020-41714）、Microsoft Visual Studio Code ESLint Extention命令注入漏洞、Microsoft OneDrive提權漏洞。其中，除 “Microsoft Windows Runtime權限提升漏洞（CNVD-C-2020-159267、CNVD-C-2020-159268、CNVD-2020-40883）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Business Client是德國思愛普（SAP）公司的一款用戶界面客戶端程序。SAP Business ObjectsBusiness Intelligence Platform是一套商業智能軟件和企業績效解決方案套件。SAP Master Data Governance是一套用于維護、驗證和分發主數據的數據管理工具。SAP Netweaver是一套面向服務的集成化應用平臺。SAP Process Integration是一種中間件，可使SAP與公司中的非SAP應用程序或公司外部的系統進行無縫集成。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞登錄中央管理控制臺，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：SAP Business Client代碼問題漏洞、SAP Business Objects Business Intelligence Platform訪問控制錯誤漏洞、SAP Master Data Governance SQL注入漏洞、SAP NetWeaver AS ABAP和ABAPPlatform信息泄露漏洞、SAP Business ObjectsBusiness Intelligence Platform跨站腳本漏洞（CNVD-2020-41739、CNVD-2020-41879）、SAP Process Integration PIRest Adapter跨站腳本漏洞、SAP Netweaver路徑遍歷漏洞。其中，“SAP Business Objects Business Intelligence Platform訪問控制錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoRV110W Wireless-N VPN Firewall是美國思科（Cisco）公司的一款企業級路由器。Cisco RV340 Dual WAN Gigabit VPN Router是一款小型VPN設備。Cisco SD-WAN vManageSoftware是一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。Cisco Vision Dynamic Signage Director是一套端到端的動態標牌和IPTV解決方案。Cisco SD-WAN vEdge 5000Series Routers是SD-WAN解決方案路由設備。Cisco Enterprise NFV Infrastructure Software（NFVIS）是一套NVF基礎架構軟件平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：多款Cisco產品緩沖區溢出漏洞（CNVD-2020-41233）、多款Cisco產品任意代碼執行漏洞、Cisco SD-WAN vManageSoftware XML外部實體注入漏洞、Cisco Vision DynamicSignage Director SQL注入漏洞、Cisco SD-WAN vEdge 5000Series Routers和SD-WAN vEdge Cloud Router拒絕服務漏洞、Cisco Enterprise NFV Infrastructure Software路徑遍歷漏洞（CNVD-2020-41804）、Cisco SD-WAN vManageSoftware SQL注入漏洞、Cisco SD-WAN vManageSoftware后置鏈接漏洞。其中，除 “Cisco SD-WAN vManageSoftware SQL注入漏洞、Cisco SD-WAN vManageSoftware后置鏈接漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat和Reader都是美國奧多比（Adobe）公司的產品。Adobe Acrobat是一套PDF文件編輯和轉換工具。Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能，執行任意代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：多款Adobe產品安全繞過漏洞（CNVD-2020-41473、CNVD-2020-41472、CNVD-2020-41474、CNVD-2020-41475）、多款Adobe產品越界寫入漏洞（CNVD-2020-41476、CNVD-2020-41477）、多款Adobe產品空指針漏洞、Adobe Acrobat和Reader存在邏輯缺陷漏洞。其中，“Adobe Acrobat和Reader存在邏輯缺陷漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache Kylin SQL注入漏洞

Apache Kylin是美國阿帕奇（Apache）軟件基金會的一款開源的分布式分析型數據倉庫。該產品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析（OLAP）等功能。上周，Apache Kylin被披露存在SQL注入漏洞。該漏洞源于基于數據庫的應用缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執行非法SQL命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞創建管理員賬戶，獲取權限，執行任意代碼等。此外，SAP、Cisco、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能，獲取敏感信息，執行任意代碼，導致拒絕服務等。另外，Apache Kylin被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、中國網信網、中國人民銀行福州中支、全國信息安全標準化技術委員會、第一財經、上行快線報道

責任編輯：韓希宇