國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞673個，互聯網上出現“LimeSurvey 'Survey Menu'存儲型跨站腳本漏洞、ZKTeco FaceDepot和ZKBiosecurityServer令牌重用漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工業和信息化部就《通信短信息和語音呼叫服務管理規定（征求意見稿）》公開征求意見

為切實保障人民群眾合法權益，推動短信息服務和語音呼叫服務高質量發展，工業和信息化部結合前期實踐經驗，對《通信短信息服務管理規定》（工業和信息化部令第31號）進行修訂。>>詳細

商務部、科技部調整發布《中國禁止出口限制出口技術目錄》 涉及信息安全技術

根據《中華人民共和國對外貿易法》和《中華人民共和國技術進出口管理條例》，商務部、科技部對《中國禁止出口限制出口技術目錄》（商務部 科技部令2008年第12號附件）內容作部分調整，現予以公布。>>詳細

沒有高回報低風險和一夜暴富，一行兩會宣教金融消費者別被騙

隨著金融創新的快速發展，金融產品和服務變得越來越復雜，普通金融消費者對金融風險的識別能力較低，易受到金融風險的傷害。>>詳細

速讀《2019年中國互聯網網絡安全報告》（上）

8月11日，國家互聯網應急中心（CNCERT/CC）正式發布《2019年中國互聯網網絡安全報告》，內容涵蓋我國互聯網網絡安全態勢分析、網絡安全監測數據分析、網絡安全事件案例詳解、網絡安全政策和技術動態等多個方面。>>詳細

速讀《2019年中國互聯網網絡安全報告》（下）

>>詳細

關于國家標準《信息安全技術 網絡數據處理安全規范》征求意見稿征求意見的通知

經標準編制單位的辛勤努力，現已形成國家標準《信息安全技術 網絡數據處理安全規范》征求意見稿。>>詳細

銀行防范跨境電商洗錢風險分析

面對龐大又不斷成長的跨境電商交易金額，銀行不可忽視為跨境電商平臺提供資金結算服務背后所隱藏的洗錢風險。>>詳細

物聯網時代，智能門鎖安全嗎？

智能門鎖是物聯網時代的產物，由于它的便捷性，受到越來越多的家庭認可，是守護人身安全和財產安全的重要防線。>>詳細

安全威脅播報

上周漏洞基本情況

上周（8月24日-30日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞673個，其中高危漏洞289個、中危漏洞329個、低危漏洞55個。漏洞平均分值為6.14。上周收錄的漏洞中，涉及0day漏洞480個（占71%），其中互聯網上出現“LimeSurvey 'Survey Menu'存儲型跨站腳本漏洞、ZKTeco FaceDepot和ZKBiosecurityServer令牌重用漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Excel是一款Office套件中的電子表格處理軟件。Microsoft Office是一款辦公軟件套件產品。Microsoft SharePoint是一套企業業務協作平臺。Microsoft Word是一套Office套件中的文字處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft InternetExplorer遠程代碼執行漏洞（CNVD-2020-47963）、Microsoft Windows和Microsoft Windows Server權限提升漏洞（CNVD-2020-48258、CNVD-2020-48261、CNVD-2020-48270、CNVD-2020-48274）、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-48604）、Microsoft Excel代碼執行漏洞（CNVD-2020-48656）、Microsoft Word信息泄露漏洞（CNVD-2020-49005）。其中，除“Microsoft Word信息泄露漏洞（CNVD-2020-49005）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Nexus 9000 Series Switches是一款9000系列交換機。Cisco Nexus 9500 R-SeriesLine Cards and Fabric Modules是一款9500R系列線卡模塊。Cisco Nexus 3000 Series Switches是一款3000系列交換機。Cisco Nexus 3500 PlatformSwitches是一款3500系列平臺交換機。Cisco NX-OS Software是一套交換機使用的數據中心級操作系統軟件。Cisco Nexus 7000 Series Switches是一款7000系列交換機。Cisco MDS 9000 SeriesMultilayer Switches是一款MDS 9000系列多層交換機。Cisco Video Surveillance 8000 Series IP Cameras是一款網絡攝像設備。Cisco Small Business Smart and Managed Switches是一款思科交換機設備。Cisco Data Center Network Manager（DCNM）是一套數據中心管理系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在底層操作系統上以提升的權限執行任意命令，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco Nexus 9000 SeriesFCoE NPV拒絕服務漏洞、Cisco NX-OS Software CLI命令注入漏洞（CNVD-2020-47610）、Cisco NX-OS Software命令注入漏洞（CNVD-2020-47609、CNVD-2020-47607、CNVD-2020-47611）、Cisco Data Center NetworkManager跨站腳本漏洞（CNVD-2020-48587）、Cisco Video Surveillance 8000 Series IP Cameras內存泄露漏洞、Cisco Small Business Smart and Managed Switches拒絕服務漏洞。其中，“Cisco NX-OS Software CLI命令注入漏洞（CNVD-2020-47610）、Cisco NX-OS Software命令注入漏洞（CNVD-2020-47609、CNVD-2020-47607、CNVD-2020-47611）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMSecurity Guardium是一套提供數據保護功能的平臺。IBM Verify Gateway（IVG）是一套基于云的身份驗證解決方案。IBM QRadar SIEM是一套利用安全智能保護資產和信息遠離高級威脅的解決方案。IBM InfoSphere InformationServer是一套數據整合平臺。IBM Spectrum Virtualize是一款純軟件的存儲產品，支持軟件定義存儲管理和保護海量數據。IBM Planning Analytics是一套業務規劃分析解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM Security Guardium信息泄露漏洞（CNVD-2020-47942）、IBM Verify Gateway信息泄露漏洞、IBM QRadar SIEM跨站腳本漏洞（CNVD-2020-47950）、IBM QRadar SIEM操作系統命令注入漏洞、IBM InfoSphere InformationServer遠程代碼執行漏洞、IBM QRadar SIEM XML實體注入漏洞、IBM Spectrum Virtualize權限提升漏洞、IBM Planning Analytics Workspace資源管理錯誤漏洞。其中，“IBM InfoSphere Information Server遠程代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

Apple macOS Catalina是一套專為Mac計算機所開發的專用操作系統。Apple iOS是一套為移動設備所開發的操作系統。Apple tvOS是一套智能電視操作系統。Apple iPadOS是一套用于iPad平板電腦的操作系統。Apple watchOS是一套智能手表操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Apple macOS CatalinaCoreAudio組件緩沖區溢出漏洞、多款Apple產品ImageIO組件任意代碼執行漏洞、Apple tvOS、iOS和iPadOS AVEVideoEncoder組件任意代碼執行漏洞、多款Apple產品Audio組件任意代碼執行漏洞（CNVD-2020-49300）、Apple iOS、iPadOS和watchOS Kernel組件內存破壞漏洞、Apple macOS CatalinaGraphics Drivers組件越界讀取漏洞、Apple macOS CatalinaSandbox組件命令注入漏洞、Apple macOS Catalina kshshell命令執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Silicon Labs Bluetooth Low Energy SDK緩沖區溢出漏洞

Silicon Labs Bluetooth Low Energy SDK是一款低功能藍牙開發套件。上周，Silicon Labs Bluetooth Low Energy SDK被披露存在緩沖區溢出漏洞。遠程攻擊者可利用該漏洞提交特殊的請求，使應用程序崩潰或在應用程序上下文執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。此外，Cisco、IBM、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，造成拒絕服務等。另外，Silicon Labs Bluetooth Low Energy SDK被披露存在緩沖區溢出漏洞。遠程攻擊者可利用該漏洞提交特殊的請求，使應用程序崩潰或在應用程序上下文執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、商務部、網信中國、信安標委、第一財經、網安前哨報道

責任編輯：韓希宇