國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞405個，互聯網上出現“WordPressquotes-collection插件跨站腳本漏洞、FlameCMS login.php文件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

重磅！權威解讀：人臉支付應表達用戶意愿，體現資金支配權

近日，中國人民銀行科技司司長李偉發文稱生物識別技術正迅速在各行各業推廣應用，要冷靜看待生物識別技術。>>詳細

信息防護小貼士助你安心過十一

作為真正上過當，踩過坑的人，現將多年踩坑經驗總結傳授大家，希望這些安全防護小訣竅能夠減少大家“上當受騙”的概率。>>詳細

銀聯再發文！強調移機或無法定位的受理終端會關停

要求收單成員機構應結合商戶經營地址，限制移動受理終端的使用地域范圍，并對監測到實際使用地址與注冊登記不一致的，暫停資金結算并立即核實，防范移機套用等違規風險。>>詳細

中關村銀行楊乾：淺析如何構建合規安全、智能有特色的開放銀行

解決安全方面問題，也要做好技術體系、用戶體系和數據體系的建設：首先，在做技術體系建設的時候一定要把安全體系建設好。>>詳細

專訪|CFCA全流程解決方案 為汽車金融業提供基礎安全保障

焉知汽車記者對中國金融認證中心（CFCA）安全技術專家左小軍進行了獨家專訪，從行業專家的角度剖析汽車金融的發展現狀。>>詳細

用戶遭騷擾質疑隱私被泄露 航旅縱橫:有關閉的自主權

據一名網友反映，在航旅縱橫上選座之后，陌生人可以看到自己的名字和頭像（并且已經受到騷擾），自己也可以查詢到陌生人的名字和頭像，質疑航旅縱橫泄露客戶的隱私。>>詳細

iOS 13 現嚴重漏洞：添加信用卡后顯示陌生人信息

當添加信用卡信息后，用戶會發現保存到他們個人資料中的信息并不是自己的而是來自一個完全陌生的人的。>>詳細

微軟：網絡攻擊已成企業面臨的最大安全風險

2017年的時候，Marsh和微軟發現有62%的受訪者將網絡攻擊視作前五大風險。但是今年，這一數字已提升至79% 。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2019年9月16日-22日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞405個，其中高危漏洞88個、中危漏洞281個、低危漏洞36個。漏洞平均分值為5.68。本周收錄的漏洞中，涉及0day漏洞57個（占14%），其中互聯網上出現“WordPressquotes-collection插件跨站腳本漏洞、FlameCMS login.php文件SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，該產品被披露存在遠程代碼執行和提權漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft WindowsCompatibility Appraiser提權漏洞、Microsoft Windows和Microsoft Windows Server提權漏洞（CNVD-2019-31845、CNVD-2019-31847、CNVD-2019-31851、CNVD-2019-31848）、Microsoft Windows Common Log File System Driver提權漏洞、Microsoft Windows Remote Desktop Client遠程代碼執行漏洞、Microsoft Windows Winlogon提權漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Advantech產品安全漏洞

AdvantechWebAccess/SCADA是一套基于瀏覽器架構的SCADA軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，上傳惡意數據，執行遠程代碼或導致系統崩潰。

CNVD收錄的相關漏洞包括：Advantech WebAccess/SCADA緩沖區溢出漏洞（CNVD-2019-32464、CNVD-2019-32466、CNVD-2019-32472、CNVD-2019-32478）、Advantech WebAccess代碼注入漏洞、Advantech WebAccess代碼問題漏洞、Advantech WebAccess/SCADA任意代碼執行漏洞、Advantech WebAccess/SCADA授權問題漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMSpectrum Protect（前稱Tivoli Storage Manager）是一套數據保護平臺。IBM Emptoris Sourcing是一套基于Web的企業采購流程管理解決方案。IBM Cognos Controller是一套商業智能與計劃解決方案。IBM Sterling File Gateway是一套文件傳輸軟件。IBM DB2是一套關系型數據庫管理系統。IBM Jazz for Service Management是一款提供對服務管理環境可見性的集成服務管理產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞查看、添加、修改或刪除后端數據庫中的信息，導致拒絕服務（服務器崩潰）等。

CNVD收錄的相關漏洞包括：IBM Spectrum Protect信息泄露漏洞（CNVD-2019-32054）、IBM Spectrum Protect Plus信息泄露漏洞、IBM Emptoris Sourcing信息泄露漏洞（CNVD-2019-32434）、IBM Cognos Controller信息泄露漏洞（CNVD-2019-32435、CNVD-2019-32437）、IBM Sterling File Gateway SQL注入漏洞、IBM DB2拒絕服務漏洞（CNVD-2019-32450）、IBM Jazz for Service Management信息泄露漏洞（CNVD-2019-32453）。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5 BIG-IP是一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IP APM是一套訪問和安全解決方案。APM Client是一套APM客戶端軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行客戶端代碼，導致服務中斷等。

CNVD收錄的相關漏洞包括：F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2019-32029、CNVD-2019-32030）、F5 BIG-IP Application Security Manager資源管理錯誤漏洞、F5 BIG-IP拒絕服務漏洞（CNVD-2019-32035）、F5 BIG-IP信任管理問題漏洞、F5 BIG-IP跨站腳本漏洞（CNVD-2019-32037）、F5 BIG-IP PEM輸入驗證錯誤漏洞、F5 BIG-IP APM和BIG-IPAPM Clients svpn權限提升漏洞。目前，廠商已經發布了上述漏洞的修補程序。

ZOHO ManageEngine Application Manager SQL注入漏洞

ZOHO ManageEngine Application Manager是一套應用程序監控管理系統。上周，ZOHO ManageEngine Application Manager被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在遠程代碼執行和提權漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。此外，Advantech、IBM、F5等多款產品被披露存在多個漏洞，攻擊者可利用漏洞查看、添加、修改或刪除后端數據庫中的信息，繞過身份驗證，上傳惡意數據，執行遠程代碼或導致系統崩潰等。另外，ZOHO ManageEngine Application Manager被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國金融電腦、移動支付網、TechWeb、cnBeta報道

責任編輯：韓希宇