國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞477個，互聯網上出現“Ghisler Total Commander權限提升漏洞、Symphony CMS跨站腳本漏洞（CNVD-2020-63998）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

2020互聯網“加法”：數字化“底板”厚勢可期

網絡安全是未來數字化的底版,須注意加固，使其牢不可破，為數字化保駕護航。如果網絡安全技術不能領先，就會影響整個數字化的進程。>>詳細

調查顯示：手機銀行C端用戶看重的是這些因素

用戶在最新版紫金農商銀行手機銀行上開通該功能，無需攜帶動態口令牌、藍牙Key等物理安全介質，即可完成單日累計額度不超過50萬元的轉賬，操作便捷，安全可靠，且無任何開通費用。>>詳細

《信息安全技術 網絡產品和服務安全通用要求》等11項網絡安全國家標準獲批發布

全國信息安全標準化技術委員會歸口的GB/T 39276-2020《信息安全技術 網絡產品和服務安全通用要求》等11項國家標準正式發布。>>詳細

CFCA聯手中國移動為5G安全保駕護航！

傳統線下業務向線上互聯網轉型的需求更加迫切，“在用戶‘不接觸、不見面’的情況下，5G快簽憑借中移互聯網特色的號卡能力，以CFCA的電子認證為基礎，通過5G消息、短信小程序等多維度的形式觸達用戶。>>詳細

社論：人臉識別技術法律缺口亟待補上

與數字密碼不同，生物特征具有唯一性和不可更改性等特點，一旦泄露就是終身泄露，在某種意義上，生物特征是最后的防線。>>詳細

攻防對抗實網演練 捕捉金融防御體系中的Mr.Wrong

自國家啟動“護網行動”以來，防御效果顯著，通過實網攻防對抗，很多隱藏的漏洞被及時發掘出來，一定程度上加強了企業內各部門間的合作，安全人員的業務水平也變向獲得歷練。>>詳細

關于印發《商業銀行應用程序接口安全管理檢測規范》和《移動金融客戶端應用軟件安全檢測規范》的通知

為落實人民銀行和國家認監委關于金融科技產品認證工作的要求，加強金融科技產品認證工作的自律管理，中國支付清算協會起草了《商業銀行應用程序接口安全管理檢測規范》和《移動金融客戶端應用軟件安全檢測規范》。>>詳細

“斷卡”行動，你了解多少？

2020年10月10日，國務院打擊治理電信網絡新型違法犯罪工作部際聯席會議全國“斷卡”行動部署會召開?！皵嗫ā毙袆优c我們每個人息息相關！>>詳細

電信詐騙防范小技巧，你值得擁有

近年來，利用科技手段進行網絡電信詐騙的案例不斷增多，嚴重損害了人民群眾的財產安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（11月16日-22日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞477個，其中高危漏洞109個、中危漏洞245個、低危漏洞123個。漏洞平均分值為5.34。上周收錄的漏洞中，涉及0day漏洞206個（占43%），其中互聯網上出現“Ghisler Total Commander權限提升漏洞、Symphony CMS跨站腳本漏洞（CNVD-2020-63998）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft SharePoint是美國微軟（Microsoft）公司的一套企業業務協作平臺。Azure Sphere是一個安全的高級應用程序平臺，具有用于聯網設備的內置通信和安全功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取資源ID、SAS 令牌、用戶屬性和其他敏感信息，執行任意代碼，觸發拒絕服務等。

CNVD收錄的相關漏洞包括：Microsoft SharePoint遠程代碼執行漏洞（CNVD-2020-63731、CNVD-2020-63730、CNVD-2020-63733）、Microsoft Azure Sphere拒絕服務漏洞、Microsoft Azure Sphere篡改漏洞、Microsoft Azure Sphere權限提升漏洞（CNVD-2020-63391、CNVD-2020-63390）、Microsoft Azure Sphere信息泄露漏洞。其中，“Microsoft SharePoint遠程代碼執行漏洞（CNVD-2020-63731、CNVD-2020-63730、CNVD-2020-63733）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Chrome是由Google開發的一款設計簡單、高效的Web瀏覽工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用通過精心制作的WebRTC流利用堆破壞，通過一個HTML頁面繞過站點隔離，利用堆破壞，執行一個沙箱逃脫等。

CNVD收錄的相關漏洞包括：Google Chrome釋放后重用漏洞（CNVD-2020-63264、CNVD-2020-63268、CNVD-2020-63271、CNVD-2020-63270、CNVD-2020-63269、CNVD-2020-63273、CNVD-2020-63272）、Google Chrome整數溢出漏洞（CNVD-2020-63266）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMUrbanCode Deploy（UCD）是美國IBM公司的一套應用自動化部署工具。IBM Sterling B2BIntegrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。IBM Business AutomationWorkflow是美國IBM公司的一套工作流程自動化解決方案。IBM Sterling File Gateway是美國IBM公司的一款文件傳輸集中式管理網關產品。IBM Sterling B2BIntegrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。IBM App Connect Enterprise是美國IBM公司的一個操作系統。IBM Sterling B2BIntegrator是一個交易引擎，是一套根據您的業務需求運行您定義和管理的流程的組件。IBM Sterling File Gateway是一款用于在內部和外部合作伙伴之間傳輸文件的應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發送專門編寫的SQL語句，這些語句允許攻擊者查看、添加、修改或刪除后端數據庫中的信息，在Web UI中嵌入任意JavaScript代碼，從而改變預期的功能，從而可能導致可信會話中的憑據泄露，劫持受害者的點擊動作，并可能對受害者進行進一步的攻擊等。

CNVD收錄的相關漏洞包括：IBM UrbanCode Deploy安全繞過漏洞（CNVD-2020-63484）、IBM Sterling B2BIntegrator SQL注入漏洞（CNVD-2020-63942）、IBM Business Automation Workflow跨站腳本漏洞（CNVD-2020-63941）、IBM Sterling File GatewaySQL注入漏洞（CNVD-2020-63940）、IBM Sterling B2B Integrator授權問題漏洞、IBM App Connect Enterprise點擊劫持漏洞、IBM Sterling B2B Integrator Standard Edition信息泄露漏洞（CNVD-2020-63967）、IBM Sterling File Gateway信息泄露漏洞（CNVD-2020-63969）。其中，“IBM Sterling B2BIntegrator授權問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle FLEXCUBE Direct Banking使銀行可基于人口統計學和細分市場提供量身定制的、基于門戶的豐富在線客戶體驗。Oracle CRM TechnicalFoundation是美國甲骨文（Oracle）公司的一個CRM應用程序開發和部署的基礎組件。Oracle FLEXCUBE UniversalBanking是一項實時、在線、全面的全球核心銀行業務方案，涵蓋零售、企業及投資銀行業務。Oracle PeopleSoftEnterprise PeopleTools是美國甲骨文（Oracle）公司的一個支持轉變企業管理。Oracle Banking Corporate Lending是美國甲骨文（Oracle）公司的一個銀行貸款管理組件。Oracle Banking Payments是一個完整的支付處理解決方案。Oracle Hospitality Suite8是美國甲骨文（Oracle）公司的一個應用于酒店管理的數字化解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未經授權訪問關鍵數據或完全訪問所有Oracle FLEXCUBE DirectBanking可訪問的數據，未經授權訪問關鍵數據或完全訪問所有Oracle FLEXCUBE UniversalBanking可訪問的數據等。

CNVD收錄的相關漏洞包括：Oracle FLEXCUBE DirectBanking信息泄露漏洞（CNVD-2020-64252）、Oracle FLEXCUBE Direct Banking信息泄露漏洞、Oracle CRM Technical Foundation未授權訪問漏洞、Oracle FLEXCUBE Universal Banking信息泄露漏洞（CNVD-2020-64251）、Oracle PeopleSoftEnterprise PeopleTools授權問題漏洞、Oracle Banking CorporateLending信息泄露漏洞、Oracle Banking Payments信息泄露漏洞（CNVD-2020-64254）、Oracle Hospitality Suite8WebConnect未授權訪問漏洞。其中，“Oracle FLEXCUBE DirectBanking信息泄露漏洞（CNVD-2020-64252）、Oracle FLEXCUBE Direct Banking信息泄露漏洞、Oracle CRM Technical Foundation未授權訪問漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux kernel perf_event_parse_addr_filter()代碼問題漏洞

Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，Linux kernel perf_event_parse_addr_filter()被披露存在代碼問題漏洞。攻擊者可利用該漏洞可以通過perf_event_parse_addr_filter()來創建內存泄漏，從而觸發拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取資源ID、SAS 令牌、用戶屬性和其他敏感信息，執行任意代碼，觸發拒絕服務等。此外，Google、IBM、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的WebRTC流利用堆破壞，發送專門編寫的SQL語句，這些語句允許攻擊者查看、添加、修改或刪除后端數據庫中的信息，未經授權訪問關鍵數據或完全訪問所有Oracle FLEXCUBE Direct Banking可訪問的數據等。另外，Linux kernel perf_event_parse_addr_filter()被披露存在代碼問題漏洞。攻擊者可利用該漏洞可以通過perf_event_parse_addr_filter()來創建內存泄漏，從而觸發拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、第一財經、中國支付清算協會、信安標委、恒豐銀行、上饒銀行報道

責任編輯：韓希宇