國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞465個，互聯網上出現“SolarWinds Orion Platform信息泄露漏洞、Zoom Call Recording跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

姣姣說消保之守護消費安全丨掌握金融知識，守住自己的“錢袋子”

普及金融知識，優化金融服務，助力疫情防控，銀行人在行動！>>詳細

賺錢不易，詐騙必防，且行且小心

欺詐套路五花八門，小茄子提醒大家，賺錢不易，詐騙必防，且行且小心。>>詳細

【消保微課堂】個人信息勿泄露，安全意識存心頭

個人金融信息是指金融機構通過開展業務或者其他渠道獲取、加工和保存的個人信息，包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息。>>詳細

誰泄露了我的個人信息？| 匯課堂

從金融保險、教育、醫療、科技到政府，數據泄露涉及許多行業。受影響用戶不斷擴大，少則數千萬，多達數億乃至十幾億。>>詳細

普及金融知識,守住“錢袋子”|支付安全篇

維護安全的金融秩序，需要我們提高安全用卡意識，培養良好的支付習慣，遠離欺詐風險，保護資金安全，了解支付安全知識，一起劃重點！>>詳細

守住錢袋子 | 寶爸寶媽需警惕，別讓孩子成為新的騙局釣餌！

小心！一些心懷不軌的網絡詐騙黑手正在伸向你！寶爸寶媽們，維護我們的合法權益不受侵害，快識別套路，守護我們的家。>>詳細

小心！別泄露了你的個人信息！

泄露隱私的途徑一定有你忽略的，信息泄露防不勝防，致獅駝嶺抓捕唐僧失敗。>>詳細

守住錢袋子 | 擔心線上交易安全？掌銀交易安全鎖為您保駕護航

今天，卡卡將帶您一起，巧用掌銀App的“交易安全鎖”功能，加強賬戶安全管理，防范支付類交易風險。>>詳細

安全威脅播報

上周漏洞基本情況

上周（6月1日-7日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞465個，其中高危漏洞150個、中危漏洞255個、低危漏洞60個。漏洞平均分值為5.72。上周收錄的漏洞中，涉及0day漏洞190個（占41%），其中互聯網上出現“SolarWinds Orion Platform信息泄露漏洞、Zoom Call Recording跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Window是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，損壞內存。

CNVD收錄的相關漏洞包括：Microsoft VBScript引擎遠程命令執行漏洞、Microsoft Windows遠程命令執行漏洞、Microsoft Windows Jet Database Engine緩沖區溢出漏洞、Microsoft Windows DirectX權限提升漏洞（CNVD-2020-31542）、Microsoft Windows Hyper-V權限提升漏洞（CNVD-2020-31546）、Microsoft Windows Kernel權限提升漏洞（CNVD-2020-31545）、Microsoft WindowsUser-Mode Power Service權限提升漏洞、Microsoft InternetExplorer VBScript Engine緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

DellEMC Isilon OneFS是一套適用于非結構化數據的橫向擴展存儲系統。Dell EMC RSA Archer是一款企業IT治理和合規治理產品。Dell OS recovery是一款系統恢復軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，執行任意命令等。

CNVD收錄的相關漏洞包括：Dell EMC Isilon OneFS安全特征問題漏洞（CNVD-2020-31248、CNVD-2020-31249）、Dell EMC RSA Archer信息泄露漏洞（CNVD-2020-31252）、Dell EMC RSA Archer操作系統命令注入漏洞、Dell EMC RSA Archer跨站請求偽造漏洞、Dell EMC RSA Archer跨站腳本漏洞、Dell EMC RSA Archer輸入驗證錯誤漏洞、Dell OS recovery未授權訪問漏洞。其中，“Dell EMC RSA Archer操作系統命令注入漏洞、Dell OS recovery未授權訪問漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoFirepower Threat Defense是一套提供下一代防火墻服務的統一軟件。Cisco Adaptive SecurityAppliances Software是一套防火墻和網絡安全平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成拒絕服務。

CNVD收錄的相關漏洞包括：Cisco Firepower ThreatDefense和Adaptive Security Appliances Software拒絕服務漏洞（CNVD-2020-31105、CNVD-2020-31104、CNVD-2020-31111、CNVD-2020-31110、CNVD-2020-31114）、Cisco Firepower ThreatDefense和Adaptive Security Appliances Software內存泄漏漏洞、Cisco Firepower Threat Defense拒絕服務漏洞、Cisco Firepower Threat Defense和AdaptiveSecurity Appliances Software信息泄露漏洞。其中，“Cisco Firepower ThreatDefense和Adaptive Security Appliances Software拒絕服務漏洞（CNVD-2020-31105、CNVD-2020-31111、CNVD-2020-31110）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Identity Governance and Intelligence（IGI）是一套身份治理解決方案。IBM Spectrum Scale是一套基于IBM GPFS（專為PB級存儲管理而優化的企業文件管理系統）的可擴展的數據及文件管理解決方案。IBM MobileFirst PlatformFoundation是一套移動應用程序管理解決方案。IBM Sterling B2BIntegrator是一套集成了重要的B2B流程、交易和關系的軟件。IBM Security Identity Governance and Intelligence（IGI）是一套身份治理解決方案。上周，上述產品被披露存在信息泄露漏洞，攻擊者可利用漏洞獲取敏感信息。

CNVD收錄的相關漏洞包括：IBM Security IdentityGovernance and Intelligence信息泄露漏洞（CNVD-2020-30830、CNVD-2020-30831、CNVD-2020-31092、CNVD-2020-31574）、IBM Spectrum Scale信息泄露漏洞（CNVD-2020-30834）、IBM MobileFirst PlatformFoundation信息泄露漏洞、IBM Sterling B2BIntegrator信息泄露漏洞（CNVD-2020-30842、CNVD-2020-31094）。目前，廠商已經發布了上述漏洞的修補程序。

多款Tenda產品緩沖區溢出漏洞（CNVD-2020-31409）

Tenda AC9等都是中國騰達（Tenda）公司的一款無線路由器。上周，多款Tenda產品被披露存在緩沖區溢出漏洞。攻擊者可通過向/goform/SetNetControlList URL發送‘list’參數利用該漏洞執行任意代碼。廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，損壞內存。此外Dell、Cisco、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意命令，造成拒絕服務等。另外，多款Tenda產品被披露存在緩沖區溢出漏洞。攻擊者可通過向/goform/SetNetControlListURL發送‘list’參數利用該漏洞執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工銀融e行、中國農業銀行ABC、交通銀行、平安口袋銀行、財富光大、東莞銀行、匯豐中國報道

責任編輯：韓希宇