國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞266個，互聯網上出現“cxuucms SQL注入漏洞、Desdev DedeCMS跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融業網絡安全態勢感知與信息共享平臺初步建成

金融業網絡安全態勢感知與信息共享平臺建設應共建共贏。作為金融業網絡安全重要基礎設施，金融機構要持續提升數據報送質量，吸引更多企業參與，打造行業內外網絡安全威脅信息和服務“雙循環”生態，支撐平臺長期可持續運營。>>詳細

《信息系統密碼應用測評要求》等5項密碼應用與安全性評估指導性文件發布

依據《中華人民共和國密碼法》等法律法規，中國密碼學會密評聯委會組織編制了《信息系統密碼應用測評要求》等5項指導性文件。>>詳細

《北京市電子印章推廣應用行動方案(試行)》正式發布

《行動方案》明確，2020年底前逐步實現政府部門在受理、審批等過程中使用電子印章對電子證照、批文批復、合同等各類電子材料進行簽章，凡可以使用電子材料的，均應當提供電子版式。>>詳細

金融類App必要個人信息范圍將被“圈定” 收集范圍未包括通訊錄、位置信息、相機等方面

金融類App必要個人信息的收集范圍均未包括通訊錄、位置信息、相機等方面。此前，網絡借貸App用戶曾因通訊錄等信息暴露，被暴力催收所擾。>>詳細

APP個人信息保護標準先行 工業和信息化部組織發布18項團體標準

推動標準化是加強個人信息保護工作的關鍵環節，對規范企業經營行為，提升監管檢測的自動化、智能化水平具有重要意義。>>詳細

中國（廈門）國際貿易單一窗口全國跨境法人身份識別體系（LEI）平臺上線

全國跨境法人身份識別體系(LEI)平臺是指全球法人識別編碼（LEI）的賦碼和應用平臺。>>詳細

重慶農商行電子銀行安全寶典（三）良好用卡習慣

只需一次注冊，即可開通重慶農村商業銀行網上銀行、手機銀行、微信銀行等電子銀行產品。>>詳細

可信電子簽名加持不動產登記改革：全程無紙化 便民又高效

江蘇省江陰市行政審批局通過與中國金融認證中心（CFCA）合作，為該平臺引入人臉識別等在線身份認證、無紙化可信簽名系統，實現不動產登記全流程無紙化，有效保障了線上業務辦理的安全合規及法律有效性，確保身份防假冒，交易數據防偽造、防篡改，簽署意愿不可抵賴。>>詳細

【安全課堂】把好這一道關，不怕被騙！

在交易環節，為了確認是本人操作的安全交易，通常需要使用動態驗證碼或安全介質、指紋、刷臉等進行最后驗證，這是資金出賬的一道關鍵防線。>>詳細

安全威脅播報

上周漏洞基本情況

上周（11月30日-12月6日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞266個，其中高危漏洞81個、中危漏洞166個、低危漏洞19個。漏洞平均分值為5.86。上周收錄的漏洞中，涉及0day漏洞170個（占64%），其中互聯網上出現“cxuucms SQL注入漏洞、Desdev DedeCMS跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM Spectrum Protect Plus是用于虛擬環境的數據保護和可用性解決方案。IBM Spectrum Protect Operations Center是美國IBM公司的一個為 IBM Spectrum Protect 環境提供可視化控制的軟件。IBM Sterling B2B Integrator是一個交易引擎，是一套根據您的業務需求運行您定義和管理的流程的組件。IBM Cloud Pak for Security是一款使用統一接口的集成安全工具，可深入洞察混合多云環境中的威脅。Maxmind Libmaxminddb是美國Maxmind公司的一個用于處理Maxmind類型文件的C代碼庫。IBM Cognos Controller是美國IBM公司的一套商業智能與計劃解決方案。IBM DB2是美國IBM公司的一套關系型數據庫管理系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取密碼、加密密鑰等硬編碼憑據，創建一個惡意的DLL，然后將其放到IBM DB2的當前目錄中，以便執行代碼等。

CNVD收錄的相關漏洞包括：IBM Spectrum Protect Plus硬編碼憑據漏洞、IBM Spectrum Protect Operations Center信息泄露漏洞（CNVD-2020-67638）、IBM Sterling B2BIntegrator Standard Edition弱加密算法漏洞、IBM Cloud Pak for Security信息泄露漏洞（CNVD-2020-68252）、IBM Cloud Pak for Security弱加密算法漏洞、Maxmind Libmaxminddb緩沖區溢出漏洞、IBM Cognos Controller權限提升漏洞、IBM DB2任意代碼執行漏洞。其中，“IBM Spectrum Protect Plus硬編碼憑據漏洞、IBM DB2任意代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Network Watcher Agent virtual machine extension forLinux是美國微軟（Microsoft）公司的一款Linux的虛擬機網絡監控插件。Microsoft Visual StudioCode是美國微軟（Microsoft）公司的一款開源的代碼編輯器。Microsoft Windows rdp是美國微軟（Microsoft）公司的一款用于連接遠程Windows桌面的應用。Microsoft Windows是美國微軟（Microsoft）公司的一種桌面操作系統。Microsoft Excel是美國微軟（Microsoft）公司的一款Office套件中的電子表格處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞使用提升的特權執行代碼，導致目標系統上的RDP服務停止響應等。

CNVD收錄的相關漏洞包括：Microsoft Network WatcherAgent virtual machine extension for Linux訪問控制錯誤漏洞、Microsoft Visual Studio Code遠程代碼執行漏洞 、Microsoft Windows rdp拒絕服務漏洞、Microsoft Windows內核權限提升漏洞、Microsoft Windows遠程桌面服務拒絕服務漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-68843、CNVD-2020-68842、CNVD-2020-68841）。其中，除“Microsoft Excel遠程代碼執行漏洞（CNVD-2020-68843、CNVD-2020-68842、CNVD-2020-68841）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Chrome是由Google開發的一款設計簡單、高效的Web瀏覽工具，其特點是簡潔、快速。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。Google Go Cmd/go是美國谷歌（Google）公司的一個為Go語言提供命令支持的代碼庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：Google Chrome堆緩沖區溢出漏洞（CNVD-2020-68850、CNVD-2020-68851）、Google Chrome釋放后重用漏洞（CNVD-2020-68853、CNVD-2020-68852）、Google Android緩沖區溢出漏洞（CNVD-2020-68856、CNVD-2020-68857）、Google Android權限提升漏洞（CNVD-2020-68855）、Google Go Cmd/go代碼執行漏洞。其中，“Google Android緩沖區溢出漏洞（CNVD-2020-68856、CNVD-2020-68857）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Intel產品安全漏洞

Intel Thunderbolt DCH drivers是美國因特爾（Intel）公司的一個用于 Windows 的驅動程序。Intel Quartus Prime Pro是美國英特爾（Intel）公司的一套多平臺設計環境。Intel Active ManagementTechnology（AMT）是美國英特爾（Intel）公司的一套以硬件為基礎的計算機遠程主動管理技術軟件。Intel Core Processors是美國英特爾（Intel）公司的一款Intel Core系列中央處理器（CPU）。Intel Microprocessors是美國英特爾（Intel）公司的微處理器（CPU）產品。Intel Server Board是美國英特爾（Intel）公司的一款服務器主板。Intel Power Management Controller（Intel PMC）是美國英特爾（Intel）公司的一個用于電源控制的內置程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過本地訪問提升權限，潛在地通過本地訪問啟用特權升級等。

CNVD收錄的相關漏洞包括：Intel Thunderbolt DCHdrivers權限提升漏洞、Intel Thunderbolt DCHdrivers緩沖區溢出漏洞、Intel Quartus Prime Pro緩沖區溢出漏洞、Intel AMT和IntelISM緩沖區溢出漏洞、Intel CSME權限提升漏洞、Intel(R) Processors權限提升漏洞、Intel(R) Server Board權限提升漏洞、Intel(R) Processors PMC權限提升漏洞。上述漏洞的綜合評級為“中?！?。目前，廠商已經發布了上述漏洞的修補程序。

PbootCMS跨站請求偽造漏洞（CNVD-2020-68549）

PbootCMS是翱云科技開發的一款全新內核的開源企業建站系統。PbootCMS 1.3.2存在跨站請求偽造漏洞。攻擊者可利用該漏洞更改用戶密碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞獲取密碼、加密密鑰等硬編碼憑據，創建一個惡意的DLL，然后將其放到IBMDB2的當前目錄中，以便執行代碼等。此外，Microsoft、Google、Intel等多款產品被披露存在多個漏洞，攻擊者可利用漏洞使用提升的特權執行代碼，導致應用程序崩潰，通過本地訪問提升權限，潛在地通過本地訪問啟用特權升級等。另外，PbootCMS被披露存在跨站請求偽造漏洞。遠程攻擊者可利用該漏洞更改用戶密碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、工信部、國家密碼管理局、北京市經濟和信息化局、證券日報、工銀融e行、重慶農村商業銀行報道

責任編輯：韓希宇