國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞295個，互聯網上出現“Mozilla Firefox拒絕服務漏洞（CNVD-2020-01142）、Microsoft Exchange ServerDNS漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

侵害用戶隱私安全問題頻發 違規App治理難如何破局？

國內關于App侵害用戶權益的整改開始于去年。隨后，工信部發布了《App違法違規收集使用個人信息行為認定方法》的通知，重點審查八類問題。>>詳細

一圖讀懂 | 2019年工信部防范治理電信網絡詐騙工作情況

2019年全國共攔截詐騙呼叫10.8億次，關停重點地區詐騙號碼88.8萬個。>>詳細

煥新升級|帶您解鎖手機銀行App5.0之智能風控——為愛護航

重慶農商行手機銀行app5.0“賬戶安全鎖”功能已全面上線，五重安全防護，全方位保障您的賬戶安全。>>詳細

民生銀行構建手機銀行多重保障體系 為客戶信息安全保駕護航

針對大額資金交易，用戶可通過簽約藍牙U寶和動態令牌安全工具進行身份校驗，滿足客戶大額資金交易需求的同時，確?？蛻糍Y金安全。>>詳細

騰訊理財通發布2019《互聯網理財行為與安全研究報告》

有42.93%的投資者認為在互聯網理財過程中沒有遇到過任何風險，大部分投資者也表示沒有受過損失或損失相對較小，這主要基于大部分投資者均選擇了相對優質的理財平臺。>>詳細

想快速get等保2.0 看這篇沒錯了

等保2.0并不是一個標準，而是一系列的標準與法律法規共同構成的安全體系。>>詳細

蘋果iPhone現在可作為Google的物理安全密鑰

Smart Lock應用程序的新功能意味著iPhone現在可以與谷歌的高級保護程序一起使用，該程序是谷歌對網絡釣魚或其他攻擊的最強保護。>>詳細

埃森哲收購賽門鐵克網絡安全服務業務

埃森哲將接過賽門鐵克的網絡安全服務產品組合，該產品組合包括全球威脅監控和分析、威脅情報以及事件響應服務，而全球威脅監控和分析是通過安全運營中心網絡來進行的。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2020年1月6日-12日）信息安全漏洞威脅整體評價級別為中。 國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞295個，其中高危漏洞133個、中危漏洞151個、低危漏洞11個。漏洞平均分值為6.29。上周收錄的漏洞中，涉及0day漏洞190個（占64%），其中互聯網上出現“Mozilla Firefox拒絕服務漏洞（CNVD-2020-01142）、Microsoft Exchange ServerDNS漏洞”等零日代碼攻擊漏洞。

Mozilla產品安全漏洞

Mozilla Network Security Services（NSS）是美國Mozilla基金會的一個函數庫（網絡安全服務庫）。該產品可跨平臺提供SSL、S/MIME和其他Internet安全標準支持。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，獲取敏感信息，導致緩沖區溢出等。

CNVD收錄的相關漏洞包括：Mozilla Network SecurityServices緩沖區溢出漏洞（CNVD-2020-01173）、Mozilla Firefox信息泄露漏洞（CNVD-2020-01174）、Mozilla Firefox和Mozilla Firefox ESR跨站腳本漏洞（CNVD-2020-01175）、Mozilla Firefox和Mozilla Firefox ESR代碼注入漏洞、Mozilla Firefox和Mozilla Firefox ESR緩沖區溢出漏洞（CNVD-2020-01177）、Mozilla Firefox和Firefox ESR內存錯誤引用漏洞（CNVD-2020-01179）、Mozilla Firefox和Firefox ESR棧緩沖區溢出漏洞（CNVD-2020-01180）、Mozilla Firefox緩沖區溢出漏洞（CNVD-2020-01182）。其中，除“Mozilla Firefox信息泄露漏洞（CNVD-2020-01174）、Mozilla Firefox和Mozilla Firefox ESR跨站腳本漏洞（CNVD-2020-01175）”外的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

GoogleChrome是美國谷歌（Google）公司的一款Web瀏覽器。Swiftshader是其中的一個開源3D渲染工具。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。Framework是其中的一個Android框架組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，導致拒絕服務，堆損壞。

CNVD收錄的相關漏洞包括：Google Android Framework拒絕服務漏洞（CNVD-2020-00994）、Google Chrome資源管理錯誤漏洞（CNVD-2020-00997、CNVD-2020-00998）、Google Chrome Swiftshader越界訪問漏洞（CNVD-2020-00996、CNVD-2020-01000、CNVD-2020-00999）、Google Android Framework權限提升漏洞（CNVD-2020-01294、CNVD-2020-01293）。其中，“Google Android Framework權限提升漏洞（CNVD-2020-01294、CNVD-2020-01293）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

AppleiOS等都是美國蘋果（Apple）公司的產品。Apple iOS是一套為移動設備所開發的操作系統。Apple tvOS是一套智能電視操作系統。Apple macOS Mojave是一套專為Mac計算機所開發的專用操作系統。Apple watchOS是一套智能手表操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，加載未簽名的內核擴展，導致緩沖區溢出等。

CNVD收錄的相關漏洞包括：多款Apple產品WebKit組件內存破壞漏洞、Apple macOS MojaveApplication Firewall組件輸入驗證錯誤漏洞、多款Apple產品Kernel組件類型混淆漏洞、多款Apple產品AppleFileConduit組件內存破壞漏洞、多款Apple產品WebKit組件內存破壞漏洞（CNVD-2020-00537）、Apple macOS Mojave Accessibility Framework組件緩沖區溢出漏洞、Apple macOS Mojave IOKit組件驗證問題漏洞、多款Apple產品WebKit組件內存破壞漏洞（CNVD-2020-00541）。其中，“Apple macOS Mojave Application Firewall組件輸入驗證錯誤漏洞、多款Apple產品Kernel組件類型混淆漏洞、多款Apple產品AppleFileConduit組件內存破壞漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat是一套PDF文件編輯和轉換工具。Reader是一套PDF文檔閱讀軟件。Adobe Illustrator是一套基于向量的圖像制作軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，獲取敏感信息。

CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader越界讀取漏洞（CNVD-2020-01260、CNVD-2020-01261、CNVD-2020-01262、CNVD-2020-01266、CNVD-2020-01265、CNVD-2020-01267）、Adobe Acrobat和Reader權限提升漏洞、Adobe Illustrator緩沖區溢出漏洞（CNVD-2020-01264）。其中，“Adobe Illustrator緩沖區溢出漏洞（CNVD-2020-01264）、Adobe Acrobat和Reader權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress Laborator Neon theme跨站腳本漏洞

WordPress是WordPress基金會的一套使用PHP語言開發的博客平臺，Laborator Neon theme是使用在其中的一個網站后臺管理主題插件。上周，WordPress Laborator Neon theme被披露存在跨站腳本漏洞。該漏洞源于WEB應用缺少對客戶端數據的正確驗證。攻擊者可利用該漏洞執行客戶端代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Mozilla產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，獲取敏感信息，導致緩沖區溢出等。此外，Google、Apple、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致拒絕服務等。另外，WordPress Laborator Neon theme被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部網站、第一財經日報、移動支付網、cnBeta、安全圈、重慶農村商業銀行、簡單的銀行報道

責任編輯：韓希宇