國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞292個，互聯網上出現“eGroupWare 'spellchecker.php'遠程代碼執行漏洞、Frigate Professional 'Pack File'緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部開展2020年網絡安全技術應用試點示范工作 有三個重點方向

新型信息基礎設施安全類包括5G網絡安全、工業互聯網安全、車聯網安全、智慧城市安全、大數據安全、物聯網安全、人工智能安全、區塊鏈安全、商用密碼應用、電信網絡詐騙防范治理等。>>詳細

首屆虛擬金融科技展上線 開啟酷炫體驗時間

8月4日-5日，首屆虛擬金融科技展覽會在線上啟動。借助強大的線上虛擬平臺，VFF匯聚了全球金融科技界的最強智慧和思想領袖,讓廣大從業者在線上即可與業內同仁活動交流，提供了良好的沉浸式活動空間，打造不一樣的酷炫體驗。>>詳細

等保2.0工作常見誤區匯總，我先碼了！

網絡安全等級保護2.0主要標準已執行了8個多月。不少機構企業按照等保2.0相應要求，陸續開展了安全建設、等級測評、安全整改等，但也有對等保2.0仍不夠了解，甚至還產生了很多誤解。>>詳細

CFCA魯欣：金融盾標準2020版解讀

如何做到移動端電子簽名的安全性結合生物識別的便捷性，是需要考慮的問題。而金融盾標準提供了解決辦法，達到了安全與便捷的平衡統一。>>詳細

一文教你認清網絡賭博常見套路

中國支付清算協會反欺詐實驗室梳理了網絡賭博常見的幾種套路，幫您提升防范意識，遠離賭博危害。>>詳細

【防賭反賭 金融守護】 系列一：遠離跨境賭博黑漩渦，共享美好幸福新生活

實際上，跨境賭博、網絡賭博的背后是充滿惡意的陷阱，請保持警惕，務必遠離！>>詳細

反欺詐宣傳 | 守護老幼，遠離欺詐

不輕信所謂的高額回報，不理睬“低門檻，高收益”“業內專家指導”等網絡投資理財話術。>>詳細

風險警示｜謹防“李鬼”APP詐騙，守護資產安全！

安全驗證手段：短信驗證碼、圖形碼、指紋、人臉、數字證書、密碼器、U盾等。>>詳細

安全威脅播報

上周漏洞基本情況

上周（7月27日-8月2日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞292個，其中高危漏洞82個、中危漏洞152個、低危漏洞58個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞86個（占29%），其中互聯網上出現“eGroupWare 'spellchecker.php'遠程代碼執行漏洞、Frigate Professional 'Pack File'緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Cisco產品安全漏洞

Cisco SD-WAN vManage Software是一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。Cisco Data Center NetworkManager（DCNM）是一套數據中心管理系統。Cisco SD-WAN Solution是一套網絡擴展解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取或修改系統上的任意文件，以root用戶權限登錄賬戶，執行任意命令，導致系統內存耗盡（拒絕服務）等。

CNVD收錄的相關漏洞包括：Cisco SD-WAN vManageSoftware SQL注入漏洞（CNVD-2020-42256）、Cisco SD-WAN vManage Software資源管理錯誤漏洞、Cisco SD-WAN vManage Software路徑遍歷漏洞、Cisco SD-WAN vManage Software授權問題漏洞、Cisco SD-WAN vManage Software路徑遍歷漏洞（CNVD-2020-42258）、Cisco Data Center NetworkManager參數注入漏洞、Cisco SD-WAN Solution權限許可和訪問控制問題漏洞（CNVD-2020-42261）、Cisco SD-WAN Solution緩沖區溢出漏洞。其中，除 “Cisco SD-WAN vManage Software授權問題漏洞、Cisco Data Center Network Manager參數注入漏洞、Cisco SD-WAN Solution權限許可和訪問控制問題漏洞（CNVD-2020-42261）、Cisco SD-WAN Solution緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

CNVD收錄的相關漏洞包括：Microsoft WindowsWalletService權限提升漏洞（CNVD-2020-43094、CNVD-2020-43098、CNVD-2020-43096）、Microsoft Windows Delivery Optimization service權限提升漏洞、Microsoft Windows Modules Installer權限提升漏洞、Microsoft Windows Update Stack權限提升漏洞、Microsoft Windows Profile Service權限提升漏洞、Microsoft Windows psmsrv.dll權限提升漏洞。其中，“Microsoft Windows Update Stack權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

AdobeBridge是一款免費數字資產管理應用程序。Adobe Photoshop，簡稱“PS”，是由Adobe公司開發和發行的圖像處理軟件。上周，上述產品被披露存在越界讀取和越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop越界寫入漏洞（CNVD-2020-43379、CNVD-2020-43378、CNVD-2020-43380）、Adobe Photoshop越界讀取漏洞（CNVD-2020-43381、CNVD-2020-43382）、Adobe Bridge越界寫入漏洞（CNVD-2020-43384、CNVD-2020-43383）、Adobe Bridge越界讀取漏洞（CNVD-2020-43385）。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Chrome是由Google開發的一款Web瀏覽工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，執行任意代碼或造成應用程序崩潰。

CNVD收錄的相關漏洞包括：Google Chrome信息泄漏漏洞（CNVD-2020-43474、CNVD-2020-43484）、Google Chrome類型混淆漏洞（CNVD-2020-43473、CNVD-2020-43483）、Google Chrome WebRTC輸入驗證錯誤漏洞、Google Chrome緩沖區溢出漏洞（CNVD-2020-43482、CNVD-2020-43485）、Google Chrome釋放后重用漏洞（CNVD-2020-43480）。其中，“Google Chrome緩沖區溢出漏洞（CNVD-2020-43482）、Google Chrome釋放后重用漏洞（CNVD-2020-43480）、Google Chrome類型混淆漏洞（CNVD-2020-43483）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR R6700緩沖區溢出漏洞（CNVD-2020-43667）

NETGEAR R6700是一款無線路由器。上周，NETGEAR R6700被披露存在緩沖區溢出漏洞。該漏洞源于程序將用戶提供的數據復制到基于棧的固定緩沖區之前，未能正確驗證數據長度。攻擊者可利用該漏洞繞過身份驗證。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Cisco產品被披露存在多個漏洞，攻擊者可利用漏洞讀取或修改系統上的任意文件，以root用戶權限登錄賬戶，執行任意命令，導致系統內存耗盡（拒絕服務）等。此外，Microsoft、Adobe、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，繞過安全限制，獲取敏感信息，執行任意代碼或造成應用程序崩潰等。另外，NETGEAR R6700被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞繞過身份驗證。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、中國支付清算協會、移動支付網、中信銀行、華夏銀行報道

責任編輯：韓希宇