國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞340個，互聯網上出現“Victor CMS跨站腳本漏洞（CNVD-2020-61026）、kkcms存在存儲型跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部通報下架60款侵害用戶權益APP

依據《網絡安全法》和《移動智能終端應用軟件預置和分發管理暫行規定》（工信部信管〔2016〕407號）等法律和規范性文件要求，工業和信息化部組織對上述App進行下架。>>詳細

逾2000人租售銀行卡被懲戒 5年內只能用現金禁用微信支付寶

他們將受到5年內只能使用現金消費，不能使用移動支付功能、不能注冊支付寶賬戶和開通微信支付等懲戒。>>詳細

金融APP備案元年：200余款已完成 備案列表持續擴容

根據文件精神，銀行、證券、基金、期貨、保險、清算、非銀行支付等都需包含在內，以上各類金融APP必須經由互金協會登記備案“落戶”。237號文實施一年，申請備案的APP持續增加，真正將安全治理工作貫徹到了金融領域的方方面面，堪稱“史上最嚴”移動客戶端監管。>>詳細

人民銀行南京分行：推動建立反洗錢關注信息共享區塊鏈系統，助力預防和遏制洗錢犯罪

反洗錢關注信息共享區塊鏈系統是將區塊鏈技術運用到反洗錢工作中，利用區塊鏈技術解決義務機構之間反洗錢信息孤島問題，提升洗錢風險整體防范水平。>>詳細

王巖飛：《中國個人金融信息保護執法白皮書》發布與解讀

對于金融行業來說，數據對業務的開展情況影響深遠，優質的數據內容將極大的提升金融機構的服務能力。>>詳細

網購須小心 | 最新版網購防欺詐小常識，手把手教你遠離網購陷阱

不法分子冒充快遞客服，謊稱快遞丟失，以退還貨款或雙倍賠償引誘客戶提供銀行、身份證信息、各類密碼等。>>詳細

數字科技加碼 泛華金融如何緩解小微企業融資之難

雙方基于可靠電子簽名技術簽署的電子合同等文件，不僅具備法律效力，而且防篡改、抗抵賴，實現線上貸款服務兼顧效率、效力與安全。>>詳細

百行征信郭勝基：從大數據征信視角談個人金融信息保護

談到征信大家會想到大數據風控，一談到大數據風控會想起大數據，三者之間有著密切的聯系，但是相互之間的區別也很大。>>詳細

安全威脅播報

上周漏洞基本情況

上周（11月2日-8日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞340個，其中高危漏洞113個、中危漏洞167個、低危漏洞60個。漏洞平均分值為6.00。上周收錄的漏洞中，涉及0day漏洞96個（占28%），其中互聯網上出現“Victor CMS跨站腳本漏洞（CNVD-2020-61026）、kkcms存在存儲型跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apple產品安全漏洞

Apple macOS Catalina是美國蘋果（Apple）公司的一套專為Mac計算機所開發的專用操作系統。Apple macOS Mojave是美國蘋果（Apple）公司的一套專為Mac計算機所開發的專用操作系統。Apple AirPort Base Station是美國蘋果（Apple）公司的一款無線路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞造成拒絕服務，緩沖區溢出或堆溢出，執行任意代碼等。

CNVD收錄的相關漏洞包括：Apple macOS Catalina緩沖區溢出漏洞（CNVD-2020-60815、CNVD-2020-61020、CNVD-2020-60814）、Apple macOS Mojave緩沖區溢出漏洞、Apple AirPort Base Station資源管理錯誤漏洞、Apple AirPort Base Station代碼問題漏洞（CNVD-2020-60818、CNVD-2020-60820）、Apple macOS Catalina競爭條件問題漏洞。其中，“Apple macOS Catalina緩沖區溢出漏洞（CNVD-2020-60815、CNVD-2020-61020）、Apple macOS Mojave緩沖區溢出漏洞、Apple AirPort Base Station資源管理錯誤漏洞、Apple AirPort Base Station代碼問題漏洞（CNVD-2020-60818、CNVD-2020-60820）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM i2 Analysts Notebook是美國IBM公司的一款數據可視化分析工具。IBM i2 iBase是一款直觀的情報數據管理應用。IBM Sterling External Authentication Server是美國IBM公司的一款客戶端應用程序。IBM System x servers是美國國際商業機器公司（IBM）的一款服務器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從瀏覽器中返回的詳細技術錯誤消息中獲取敏感信息，消耗內存資源，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM i2 Analysts Notebook內存破壞漏洞（CNVD-2020-60085、CNVD-2020-60086、CNVD-2020-60087、CNVD-2020-60088）、IBM i2 iBase代碼問題漏洞、IBM i2 iBase信息泄露漏洞、IBM Sterling External Authentication Server和IBM Sterling Secure Proxy內存破壞漏洞、IBM System x servers任意代碼執行漏洞。其中，“IBM i2 Analysts Notebook內存破壞漏洞（CNVD-2020-60085、CNVD-2020-60086、CNVD-2020-60087、CNVD-2020-60088）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

HPE產品安全漏洞

HPEIntelligent Management Center是美國惠普企業公司（Hewlett Packard Enterprise，HPE）的一套網絡智能管理中心解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞實現遠程代碼執行。

CNVD收錄的相關漏洞包括：HPE Intelligent ManagementCenter (iMC) 授權問題漏洞、HPE Intelligent ManagementCenter (iMC) iccselectrules表達式語言注入遠程代碼執行漏洞（CNVD-2020-60129）、HPE Intelligent Management Center (iMC) perfaddormoddevicemonitor表達式語言注入遠程代碼執行漏洞（CNVD-2020-60128）、HPE Intelligent Management Center (iMC) ictexpertcsvdownload表達式語言注入遠程代碼執行漏洞（CNVD-2020-60127）、HPE Intelligent Management Center (iMC) syslogtempletselectwin表達式語言注入遠程代碼執行漏洞（CNVD-2020-60134）、HPE Intelligent Management Center (iMC) legend表達式語言注入遠程代碼執行漏洞（CNVD-2020-60133）、HPE Intelligent Management Center (iMC) ByteMessageResourcetransformEntity輸入驗證遠程代碼執行漏洞、HPE Intelligent ManagementCenter (iMC) AccessMgrServlet className輸入驗證遠程代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Chrome是由Google開發的一款設計簡單、高效的Web瀏覽工具，其特點是簡潔、快速。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTML頁面執行沙盒轉義，進行本地特權升級，在系統上執行任意代碼，或導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：Google Chrome堆緩沖區溢出漏洞（CNVD-2020-60469、CNVD-2020-60471）、Google Android actory reset protection權限檢查漏洞、Google Chrome video資源管理錯誤漏洞、Google Chrome V8實現不當漏洞（CNVD-2020-60470、CNVD-2020-60473）、Google Chrome釋放后重用漏洞（CNVD-2020-60475）、Google Chrome ANGLE策略執行不足漏洞。其中，“Google Chrome堆緩沖區溢出漏洞（CNVD-2020-60469、CNVD-2020-60471）、Google Android actoryreset protection權限檢查漏洞、Google Chrome video資源管理錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux kernel代碼問題漏洞（CNVD-2020-61025）

Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，Linux kernel產品被披露存在代碼問題漏洞。該漏洞源于網絡系統或產品的代碼開發過程中存在設計或實現不當的問題，攻擊者可以利用此漏洞使用被釋放的內存，從而導致拒絕服務或執行自定義代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apple產品被披露存在多個漏洞，攻擊者可利用漏洞造成拒絕服務，緩沖區溢出或堆溢出，執行任意代碼等。此外，IBM、HPE、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞從瀏覽器中返回的詳細技術錯誤消息中獲取敏感信息，消耗內存資源，在系統上執行任意代碼等。另外，Linux kernel產品被披露存在代碼問題漏洞。攻擊者可利用該漏洞使用被釋放的內存，從而導致拒絕服務或執行自定義代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工業和信息化部信息通信管理局、交通銀行微銀行、蘇寧銀行、新華網、移動支付網報道

責任編輯：韓希宇