國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞597個，互聯網上出現“MonoCMS Blog信息泄露漏洞、CMS Made Simple跨站腳本漏洞（CNVD-2020-57873）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《中華人民共和國密碼法》頒布一周年

《中華人民共和國密碼法》中的密碼指的是采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。>>詳細

金融服務如何便利？網友呼聲最高的竟是這一步

用戶只需要將大連銀行手機銀行APP更新至最新版本，并開通指紋轉賬功能，即可體驗轉賬匯款時“指紋代替云證書密碼”新功能。>>詳細

【必看】手機丟失怎么辦?

手機APP、照片、SIM卡、聊天記錄等都會涉及到您的重要隱私。>>詳細

騰訊安全玄武實驗室報告的5G消息漏洞，該5G背鍋嗎？

5G消息漏洞其實與“5G消息”無關，是傳統的短信模式的漏洞。>>詳細

可信數字簽名解決方案：助力公積金行業信息化、智能化發展

隨著新技術的應用以及政策的拓寬，住房公積金的發展面臨新的機遇與挑戰，數字化轉型成為新的思路和方向。>>詳細

騰訊報告：無感支付充電樁存嚴重安全漏洞，有“盜刷”隱患

Blade Team安全研究員模擬攻擊者身份，僅需獲得模擬受害者的車輛身份標識，并使用特殊設備連接“無感支付”直流充電樁與汽車，就能利用充電樁通信協議漏洞，輕松完成“盜刷”操作。>>詳細

安全威脅播報

上周漏洞基本情況

上周（10月19日-25日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞597個，其中高危漏洞235個、中危漏洞286個、低危漏洞76個。漏洞平均分值為6.20。上周收錄的漏洞中，涉及0day漏洞341個（占57%），其中互聯網上出現“MonoCMS Blog信息泄露漏洞、CMS Made Simple跨站腳本漏洞（CNVD-2020-57873）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe InDesign是Adobe公司的一個桌面出版(DTP)的應用程序，主要用于各種印刷品的排版編輯。Adobe After Effects是美國奧多比（Adobe）公司的一套視覺效果和動態圖形制作軟件。Adobe Animate是一款多媒體創作和計算機動畫程序。Adobe Flash Player是美國奧多比（Adobe）公司的一款跨平臺、基于瀏覽器的多媒體播放器產品。Adobe Magento是美國奧多比（Adobe）公司的一套開源的PHP電子商務系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞實現任意代碼執行。

CNVD收錄的相關漏洞包括：Adobe InDesign內存破壞漏洞（CNVD-2020-57855）、Adobe Animate越界讀取漏洞（CNVD-2020-57863、CNVD-2020-57864）、Adobe Animate棧緩沖區溢出漏洞、Adobe Animate雙重釋放漏洞、Adobe After Effects越界讀取漏洞（CNVD-2020-57860）、Adobe Flash Player空指針解引用漏洞、Adobe Magento文件上傳列表繞過漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft SharePoint是美國微軟（Microsoft）公司的一套企業業務協作平臺。Microsoft Azure是一款開放的企業級云計算平臺。Windows Server是微軟發布的一系列服務器操作系統的品牌名，它包括所有以“Windows Server”為品牌發布的Windows操作系統。Microsoft Visual StudioCode是美國微軟（Microsoft）公司的一款開源的代碼編輯器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，從而進一步入侵用戶系統，提交特殊的請求，在未有正確授權的情況下調用HTTP功能，導致DNS服務無響應等。

CNVD收錄的相關漏洞包括：Microsoft SharePoint遠程代碼執行漏洞（CNVD-2020-57589）、Microsoft SharePoint信息泄露漏洞（CNVD-2020-57588）、Microsoft Azure特權提升漏洞、Microsoft SharePoint授權問題漏洞、Microsoft Windows Server拒絕服務漏洞（CNVD-2020-57795）、Microsoft SharePointServer資源管理錯誤漏洞、Microsoft Windows Server遠程代碼執行漏洞（CNVD-2020-57799）、Microsoft Visual Studio Code代碼執行漏洞。其中“Microsoft Azure特權提升漏洞、Microsoft Visual StudioCode代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞漏洞獲取藍牙服務器相關信息，實現本地權限提升，執行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android釋放后重用漏洞（CNVD-2020-58104）、Google Android越界讀取漏洞（CNVD-2020-58112）、Google Android整數溢出漏洞（CNVD-2020-58117）、Google Android Framework組件權限提升漏洞（CNVD-2020-58120、CNVD-2020-58119）、Google Android system組件權限提升漏洞（CNVD-2020-58121）、Google Android System權限提升漏洞（CNVD-2020-58128）、Google Android System遠程代碼執行漏洞（CNVD-2020-58132）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

HPE產品安全漏洞

HPE Intelligent Management Center (iMC)是美國惠普企業公司（Hewlett Packard Enterprise，HPE）的一套網絡智能管理中心解決方案。上周，上述產品被披露存在表達式語言注入遠程代碼執行漏洞，攻擊者可利用漏洞執行遠程代碼。

CNVD收錄的相關漏洞包括：HPE Intelligent ManagementCenter (iMC) comparefilesresult表達式語言注入遠程代碼執行漏洞、HPE Intelligent ManagementCenter (iMC) faultdevparasset表達式語言注入遠程代碼執行漏洞、HPE Intelligent ManagementCenter (iMC) eventinfo_content表達式語言注入遠程代碼執行漏洞、HPE Intelligent ManagementCenter (iMC) adddevicetoview表達式語言注入遠程代碼執行漏洞、HPE Intelligent ManagementCenter (iMC) ictexpertcsvdownload表達式語言注入遠程代碼執行漏洞、HPE Intelligent Management Center (iMC) deployselectsoftware表達式語言注入遠程代碼執行漏洞、HPE Intelligent Management Center (iMC)deployselectbootrom表達式語言注入遠程代碼執行漏洞、HPE Intelligent ManagementCenter (iMC) devgroupselect表達式語言注入遠程代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

GetSimpleCMS路徑遍歷漏洞

GetSimpleCMS是個人開發者的一個內容管理系統。上周，GetSimpleCMS產品被披露存在路徑遍歷漏洞。攻擊者可利用該漏洞刪除任意文件。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用該漏洞實現任意代碼執行。此外，Microsoft、Google、HPE等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取藍牙服務器相關信息，實現本地權限提升，執行任意代碼等。另外，GetSimpleCMS產品被披露存在路徑遍歷漏洞。攻擊者可利用該漏洞刪除任意文件。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、新華社、第一財經、昆侖銀行報道

責任編輯：韓希宇