國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞298個，互聯網上出現“Mitel ShoreTelconferencing component跨站腳本漏洞、CloudBees JenkinsDependency Graph Viewer插件跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

深圳將出臺國內首部數據領域綜合性立法 收集處理個人隱私數據須得到明示同意

“以保護為基礎”是此次立法的重要理念，力圖在實現個人數據保護的基礎上，最大程度挖掘釋放數據經濟價值，為深圳數字產業數字經濟發展提供良好的法治環境。>>詳細

金融科技保護金融消費者權益調查：嚴防個人敏感數據“外泄”，優化交互體驗減少投訴

目前不少持牌金融機構已加強與互聯網平臺場景方的數據共享規范操作，一方面通過金融科技，將所有涉及個人的信息“脫敏”，另一方面借助一系列智能監測技術嚴控個人數據流向，防止個人敏感信息“外泄”。>>詳細

“刷臉”被濫用，生物信息安全如何捍衛？

哪些場所適合利用刷臉等技術，個人隱私與社區安全如何平衡，收集個人生物信息之后用在哪里，信息是否會被泄露，泄露之后該承擔什么責任等問題，很難找到明晰和統一的答案，這也是引發擔憂和爭議的關鍵所在。>>詳細

禁令之下，二手平臺上為何還能買到開房記錄、戶籍等個人信息？

當前，部分平臺的應用程序接口存在安全漏洞，容易被黑客攻擊。不法分子通過一些平臺的信息接口，非法訪問其數據庫，繼而造成信息泄露。>>詳細

年末刷卡小心被詐，安全攻略還得看它

對于各種花樣的“迭代升級”，交通銀行信用卡的安全專家提醒廣大用戶，牢記“四要、四不、六個一”口訣，透過現象看本質，就能進行有效防范。>>詳細

警惕！電信詐騙進入高發期

臨近年關，騙子開始“沖業績”，各類新型詐騙方式層出不窮，電信詐騙進入高發期，蘇州銀行提醒您注意提高防詐騙意識。>>詳細

安全威脅播報

上周漏洞基本情況

上周（12月21日-27日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞298個，其中高危漏洞117個、中危漏洞128個、低危漏洞53個。漏洞平均分值為5.88。上周收錄的漏洞中，涉及0day漏洞165個（占55%），其中互聯網上出現“Mitel ShoreTelconferencing component跨站腳本漏洞、CloudBees JenkinsDependency Graph Viewer插件跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM Connect：Directfor UNIX是美國IBM公司的一個點對點的可支持多平臺之間傳輸數據的工具軟件。IBM Domino是美國IBM公司的一套企業級應用程序開發平臺。IBM AIX是美國IBM公司的一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。IBM VIOS是一款虛擬IO服務器。IBM Loopback是美國IBM公司的一個基于NodeJs的API框架。IBM Security Key LifecycleManager（前稱Tivoli Key LifecycleManager）是美國IBM公司的一套密鑰生命周期管理軟件。IBM Financial Transaction Manager for SWIFT Servicesfor Multiplatforms是美國IBM公司的一款金融事務管理器產品。IBM Financial Transaction Manager for SWIFT Services是美國IBM公司的一款金融事務管理器產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問經過認證的CLI會話，破壞服務器或向系統注入代碼，ksu用戶命令可獲得root特權等。

CNVD收錄的相關漏洞包括：IBM Connect:Direct forUNIX授權問題漏洞、IBM Domino緩沖區溢出漏洞（CNVD-2020-73021）、IBM AIX和VIOS授權問題漏洞、IBM Loopback注入漏洞、IBM Security Key LifecycleManager信息泄露漏洞（CNVD-2020-73012）、IBM Financial Transaction Manager for SWIFT Services forMultiplatforms信息泄露漏洞（CNVD-2020-73014、CNVD-2020-73018）、IBM Financial TransactionManager for SWIFT Services for Multiplatforms跨站請求偽造漏洞。其中，“IBM Connect:Direct for UNIX授權問題漏洞、IBM Domino緩沖區溢出漏洞（CNVD-2020-73021）、IBM AIX和VIOS授權問題漏洞、IBM Loopback注入漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）和開放手持設備聯盟（簡稱oha）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android信息泄露漏洞（CNVD-2020-73454、CNVD-2020-73442、CNVD-2020-73440）、Google Android輸入驗證錯誤漏洞、Google Android緩沖區溢出漏洞（CNVD-2020-73452、CNVD-2020-73447、CNVD-2020-73446）、Google Android Pixel拒絕服務漏洞。上述漏洞的綜合評級為“中?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftWindows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Excel是Microsoft公司的辦公軟件Microsoft office的組件之一，是一款電子表格程序。Microsoft Azure Sphere是美國微軟（Microsoft）公司的一個應用于云環境提供安全防護的設備。SharePoint是一款與Microsoft Office集成的基于Web的協作平臺。Microsoft Exchange Server是Microsoft開發的郵件服務器和日歷服務器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞實現遠程代碼執行，執行使用PACKET_MMAP觸發漏洞的shellcode等。

CNVD收錄的相關漏洞包括：Microsoft Windows/WindowsServer Hyper-V遠程代碼執行漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-73769）、Microsoft Azure Sphere代碼執行漏洞、Microsoft SharePoint遠程代碼執行漏洞（CNVD-2020-73768）、Microsoft SharePoint權限提升漏洞（CNVD-2020-73766）、Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2020-73749、CNVD-2020-73748、CNVD-2020-73747）。其中，“Microsoft Windows/WindowsServer Hyper-V遠程代碼執行漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-73769）、Microsoft Azure Sphere代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Trend Micro產品安全漏洞

Trend Micro Security 2020是美國趨勢科技（Trend Micro）公司的一套計算機安全防護軟件。Trend Micro InterScan Web Security Virtual Appliance（IWSVA）是美國趨勢科技（Trend Micro）公司的一款針對基于Web方式的威脅為企業網絡提供動態的、集成式的安全保護的Web安全網關。Trend Micro Worry-Free Business Security是美國趨勢科技（Trend Micro）公司的一套企業級信息安全防護解決方案。該產品提供反垃圾郵件、防病毒、網絡安全和電子郵件保護等功能。Trend Micro Trend MicroServerprotect for Linux是美國Trend Micro公司的一個用于企業環境的防毒軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過本地目錄中放置一個惡意的DLL來利用，該DLL可以導致在安裝產品期間獲得管理特權，執行某些命令，修改或刪除任意文件等。

CNVD收錄的相關漏洞包括：Trend Micro Security 2020本地權限提升漏洞（CNVD-2020-73786、CNVD-2020-73785、CNVD-2020-73788）、Trend Micro InterScan WebSecurity Virtual Appliance命令注入漏洞（CNVD-2020-73777、CNVD-2020-73791、CNVD-2020-73776）、Trend Micro Worry-Free Business Security路徑遍歷任意遠程文件刪除漏洞、Trend Micro Serverprotect for Linux緩沖區溢出漏洞。除 “Trend Micro Worry-Free Business Security路徑遍歷任意遠程文件刪除漏洞、Trend Micro Serverprotect for Linux緩沖區溢出漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TerraMaster TOS遠程代碼執行漏洞

TerraMaster TOS是為TerraMaster云存儲NAS服務器開發的基于Linux平臺的操作系統。TerraMaster TOS 4.2.06及更早版本存在遠程代碼執行漏洞。攻擊者可在CSV創建期間通過include/makecvs.php中的Event參數中的shell元字符利用該漏洞未經認證執行命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞提升本地權限獲取敏感信息，造成拒絕服務等。此外，Google、Microsoft、Trend Micro等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成拒絕服務，遠程代碼執行等。另外，TerraMaster TOS被披露存在遠程代碼執行漏洞。攻擊者可利用漏洞在CSV創建期間通過include/makecvs.php中的Event參數中的shell元字符未經認證執行命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、21世紀經濟報道、第一財經、交通銀行、蘇州銀行報道

責任編輯：韓希宇