國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞395個，互聯網上出現“WordPress Click To Top插件存儲型跨站腳本漏洞、Joomla! J2 Store SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

構筑以銀行穩定為核心的金融安全網

具有中國特色的存款保險制度的不斷完善，正在加快構筑起以銀行穩定為核心的更加健全的國家金融安全網。>>詳細

中國信通院發布《中國網絡安全產業白皮書（2020年）》

近三年來網絡安全產品市場占比逐步提升，并于2019年首次超過網絡安全服務市場，達到50.22%。>>詳細

《政務信息系統密碼應用與安全性評估工作指南》公開發布

中國密碼學會密評聯委會組織編制的《政務信息系統密碼應用與安全性評估工作指南》(2020版)已于日前發布，用于引導非涉密國家政務信息系統建設單位和使用單位規范開展商用密碼應用與安全性評估工作。>>詳細

銀行如何防范高風險自然人客戶辦理現金存取風險？

銀行對高風險客戶辦理現金存取業務，應在“審核內容、確認核實渠道、書面記錄核實措施及核實結果”三方面盡到盡職調查義務。>>詳細

騰訊副總裁丁珂對話方濱興院士：如何構建數字經濟時代的新安全體系

急劇膨脹的數據存儲量、海量的數據流動以及新技術的發展帶來一些伴生安全問題，都對傳統網絡安全體系提出了很多挑戰。>>詳細

李開復“口誤”道歉背后是人們對生物識別信息安全的憂慮

大量的生活場景開始植入個人生物識別技術，這就不由得讓人們開始思考，“人臉”識別等個人生物識別信息一旦發生泄漏、濫用該怎么辦。>>詳細

過足癮！超多數字化轉型必備干貨→

《CFCA云課堂》整體回放ing~最新潮的企業數字化轉型剖析，最前沿的信息安全解讀。超多數字化轉型必備干貨，行業專家解你所惑。>>詳細

CFCA榮獲“2019-2020年中國信息安全領域領軍企業”稱號

目前，“無紙化+證據保全整體解決方案”已廣泛應用于銀行、保險、證券、供應鏈金融、消費金融、汽車金融、招投標、政務、醫療、公積金等行業，為各行業輕型化轉型發展提供了可靠有效的安全與法律保障。>>詳細

安全威脅播報

上周漏洞基本情況

上周（9月7日-13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞395個，其中高危漏洞142個、中危漏洞194個、低危漏洞59個。漏洞平均分值為5.80。上周收錄的漏洞中，涉及0day漏洞188個（占48%），其中互聯網上出現“WordPress Click To Top插件存儲型跨站腳本漏洞、Joomla! J2 Store SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，破壞內存。

CNVD收錄的相關漏洞包括：Microsoft InternetExplorer VBScript Engine遠程代碼執行漏洞（CNVD-2020-51780、CNVD-2020-51784、CNVD-2020-51783）、Microsoft Internet Explorer遠程代碼執行漏洞（CNVD-2020-51778、CNVD-2020-51782、CNVD-2020-51781）、Microsoft InternetExplorer MSHTML Engine遠程代碼執行漏洞、Microsoft InternetExplorer信息泄露漏洞（CNVD-2020-51786）。其中，除“Microsoft Internet Explorer信息泄露漏洞（CNVD-2020-51786）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco NX-OS Software是一套交換機使用的數據中心級操作系統軟件。Cisco FXOS Software是一套運行在思科安全設備中的防火墻軟件。Cisco SD-WAN Solution是一套網絡擴展解決方案。Cisco AnyConnect SecureMobility Client for Windows是一款基于Windows平臺的可通過任何設備安全訪問網絡和應用的安全移動客戶端。Cisco IOS XR軟件是用于服務提供商網絡的模塊化和完全分布式的網絡操作系統。Cisco Jabber for Windows是一套用于Windows平臺的統一通信客戶端解決方案。Cisco Webex Training是一種在線培訓解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取管理權限，執行任意代碼，導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Cisco NX-OS拒絕服務漏洞（CNVD-2020-50555）、Cisco FXOS和NX-OS拒絕服務漏洞（CNVD-2020-50560）、Cisco SD-WAN Solution權限許可和訪問控制問題漏洞（CNVD-2020-50563）、Cisco AnyConnect SecureMobility Client for Windows代碼問題漏洞、Cisco IOS XR權限提升漏洞（CNVD-2020-51772）、Cisco Jabber for Windows命令注入漏洞、Cisco Webex Training輸入驗證錯誤漏洞、Cisco IOS XR權限提升漏洞（CNVD-2020-51773）。其中，除“Cisco NX-OS拒絕服務漏洞（CNVD-2020-50555）、Cisco IOS XR權限提升漏洞（CNVD-2020-51772）、Cisco Webex Training輸入驗證錯誤漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMAPI Connect是一種綜合的端到端API生命周期解決方案。IBM Business Process Manager是一套綜合的業務流程管理平臺。IBM Business Automation Workflow是一套工作流程自動化解決方案。IBM MQ Appliance是一款用于快速部署企業級消息中間件的一體機設備。IBM InfoSphere Information Server是一套數據整合平臺。IBM Aspera是一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM Engineering Test Management 是一個協作性的、基于 Web 的質量管理解決方案，可以提供端到端的測試規劃和測試資產管理。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，并將用戶重定向到網絡釣魚站點，獲取敏感信息，執行任意代碼，導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：IBM API Connect權限提升漏洞（CNVD-2020-50792）、IBM Business ProcessManager和IBM Business Automation Workflow安全繞過漏洞、IBM Business Process Manager和IBMBusiness Automation Workflow信息泄露漏洞、IBM MQ Appliance拒絕服務漏洞（CNVD-2020-50796）、IBM InfoSphere InformationServer跨站腳本漏洞（CNVD-2020-50801）、IBM Aspera Connect代碼執行漏洞、IBM Engineering TestManagement信息泄露漏洞、IBM Engineering TestManagement跨站腳本漏洞。其中，“IBM Aspera Connect代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

Apple iTunes for Windows是一款基于Windows平臺的媒體播放器應用程序。Apple iOS是一套為移動設備所開發的操作系統。Apple tvOS是一套智能電視操作系統。Apple iPadOS是一套用于iPad平板電腦的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Apple iTunes for WindowsImageIO越界寫入漏洞（CNVD-2020-51491、CNVD-2020-51492）、Apple iTunes for WindowsImageIO組件越界讀取漏洞、Apple iTunes for WindowsImageIO組件遠程代碼執行漏洞、多款Apple產品GeoServices組件授權問題漏洞、多款Apple產品Wi-Fi組件越界讀取漏洞、多款Apple產品Audio組件越界寫入漏洞、多款Apple產品WebKit組件越界讀取漏洞（CNVD-2020-51502）。其中，除“多款Apple產品GeoServices組件授權問題漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla Firefox資源管理錯誤漏洞（CNVD-2020-51034）

Mozilla Firefox是美國Mozilla基金會的產品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。上周，Mozilla Firefox產品被披露存在資源管理錯誤漏洞。攻擊者可借助特制的請求利用該漏洞造成拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，破壞內存。此外，Cisco、IBM、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，并將用戶重定向到網絡釣魚站點，獲取敏感信息，執行任意代碼，導致拒絕服務攻擊等。另外，Mozilla Firefox被披露存在資源管理錯誤漏洞。攻擊者可借助特制的請求利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家密碼管理局、中國信息通信研究院、21世紀經濟報道、每日經濟新聞、第一財經報道

責任編輯：韓希宇