國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞533個，互聯網上出現“Amovision AM-Q6320-WIFI HD Camera遠程配置泄露漏洞、Quick N Easy Web Server拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國銀聯正式推出移動安全支付產品——手機盾

手機盾是中國銀聯基于可信服務管理平臺（TSM），通過手機廠商硬件級的信息安全存儲能力，為用戶提供的在線申請、管理的支持大額交易的移動端U盾。>>詳細

網絡安全審查辦法

網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查。>>詳細

《網絡安全審查辦法》答記者問

我國建立網絡安全審查制度，目的是通過網絡安全審查這一舉措，及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害。>>詳細

業務線上化和非現場辦公給金融企業帶來的安全挑戰和應對

突如其來的全球疫情加速了金融業務線上化和遠程辦公以及對應的視頻會議的應用發展，也由此帶來身份認證、數據安全、業務合規等諸多安全挑戰。>>詳細

這項黑科技有點酷 四招為您賬戶安全上鎖

還在擔心借記卡的賬戶安全嗎？不用再擔憂，交行新版手機銀行送您四把鎖，助您鎖住錢袋子。>>詳細

一文講透零信任模型

零信任模型認為網絡的位置不足以作為安全與否的信任條件，零信任模型希望引導網絡體系架構從以網絡架構為中心轉向以身份認證為中心。>>詳細

銀保監會就保險實名登記再次征求意見 涵蓋信息采集、存儲期限等多方面內容

保險公司、保險中介機構應當加強信息安全管理，制定關于信息采集、存儲、使用的管理制度和操作規程，規范信息使用權限。>>詳細

安全威脅播報

上周漏洞基本情況

上周（4月20日-26日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞533個，其中高危漏洞253個、中危漏洞217個、低危漏洞63個。漏洞平均分值為6.31。上周收錄的漏洞中，涉及0day漏洞297個（占56%），其中互聯網上出現“Amovision AM-Q6320-WIFI HD Camera遠程配置泄露漏洞、Quick N Easy Web Server拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Oracle產品安全漏洞

Oracle MySQL是一套開源的關系數據庫管理系統。Oracle Retail Applications是一套零售應用商店解決方案。Oracle E-Business Suite（電子商務套件）是一套全面集成式的全球業務管理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的可用性、保密性和完整性。

CNVD收錄的相關漏洞包括：Oracle MySQL Server拒絕服務漏洞（CNVD-2020-23461、CNVD-2020-23460、CNVD-2020-23465）、Oracle訪問控制錯誤漏洞、Oracle E-Business Suite Email Center未授權操作漏洞（CNVD-2020-23751）、Oracle E-Business Suite Marketing Encyclopedia System未授權操作漏洞、Oracle E-Business Suite General Ledger未授權訪問漏洞、Oracle E-Business Suite Email Center未授權操作漏洞。除“Oracle MySQL Server拒絕服務漏洞（CNVD-2020-23461、CNVD-2020-23460）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftSharePoint是一套企業業務協作平臺。Microsoft Office是的一款辦公軟件套件產品。Microsoft Word是一套Office套件中的文字處理軟件。Microsoft AutoUpdate forMac是一款適用于Mac的自動升級組件。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Update Client是其中的一個Windows系統更新客戶端。Microsoft Excel是一款Office套件中的電子表格處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：icrosoft SharePoint遠程代碼執行漏洞（CNVD-2020-24060、CNVD-2020-24062）、Microsoft Office Access Connectivity Engine遠程代碼執行漏洞（CNVD-2020-24065）、Microsoft Word遠程代碼執行漏洞（CNVD-2020-24069）、Microsoft AutoUpdate for Mac提權漏洞、Microsoft Windows Update Client提權漏洞、Microsoft Windows Graphics Components遠程代碼執行漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-24131）。其中，除“Microsoft SharePoint遠程代碼執行漏洞（CNVD-2020-24060、CNVD-2020-24062）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

FoxitReader和Foxit PhantomPDF都是中國福昕（Foxit）公司的一款PDF文檔閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Foxit Reader和PhantomPDF類型混淆遠程代碼執行漏洞（CNVD-2020-24443、CNVD-2020-24446、CNVD-2020-24445、CNVD-2020-24444）、Foxit Reader和PhantomPDF任意文件寫入漏洞、Foxit Reader和PhantomPDF communication API任意文件寫入漏洞、Foxit Reader和PhantomPDF資源管理錯誤漏洞（CNVD-2020-24461、CNVD-2020-24465）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Closure Library是一款跨瀏覽器的、模塊化的JavaScript庫。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取非法授權，執行代碼。

CNVD收錄的相關漏洞包括：Google Closure Library輸入驗證錯誤漏洞、Google Android System越界寫入漏洞（CNVD-2020-24773、CNVD-2020-24776、CNVD-2020-24775、CNVD-2020-24774）、Google Android FPC Iris TZ App越界寫入漏洞、Google Android FPC Iris TZ App越界讀取漏洞、Google Android Media framework越界寫入漏洞。其中，除“Google Android FPC Iris TZ App越界寫入漏洞、Google Android FPC Iris TZ App越界讀取漏洞、Google Android Media framework越界寫入漏洞”外，其余漏洞的綜合評級為“高?！?，目前，廠商已經發布了上述漏洞的修補程序。

ABB Telephone Gateway TG/S和Busch-Jaeger Telefon-Gateway權限許可和訪問控制問題漏洞。

ABB Telephone Gateway TG/S和Busch-Jaeger6186/11 Telefon-Gateway都是瑞士ABB公司的一款電話網關產品。上周，ABB Telephone Gateway TG/S 3.2版本和Busch-Jaeger 6186/11 Telefon-Gateway被披露存在權限許可證和訪問控制漏洞。該漏洞源于訪問控制不當。攻擊者可利用該漏洞訪問受限數據。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Oracle產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的可用性、保密性和完整性。此外Microsoft、Foxit、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取非法授權，執行代碼。另外，ABB Telephone Gateway TG/S和Busch-Jaeger Telefon-Gateway被披露存在權限許可和訪問控制問題漏洞。攻擊者可利用該漏洞訪問受限數據。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、每日經濟新聞、中國銀聯、交通銀行、金科創新社、網安前哨報道

責任編輯：韓希宇