國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞252個，互聯網上出現“ZyXEL Armor X1 WAP6806路徑遍歷漏洞、QuickBox遠程代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

關于征求《信息安全技術 可信計算密碼支撐平臺功能與接口規范》等5項國家標準意見的通知

全國信息安全標準化技術委員會歸口的《信息安全技術 可信計算密碼支撐平臺功能與接口規范》（計劃號20201695-T-469）等5項國家標準現已形成標準征求意見稿。>>詳細

手機轉賬300萬能實現嗎？ 蘭州銀行：可以有！

蘭州銀行正式上線企業手機銀行，創新與中國金融認證中心（CFCA）合作，采用其“手機盾”方案破解了移動端大額轉賬難題，最高可實現300萬在線轉賬。>>詳細

關于2020年第二批網絡安全國家標準項目立項建議征求意見的通知

全國信息安全標準化技術委員會組織了2020年網絡安全國家標準項目征集立項評審工作，經秘書處審查、工作組技術初審、WG1和工作組組長聯席會議評審、全體委員投票等環節，形成了2020年第二批網絡安全國家標準項目立項建議。>>詳細

央行：加強征信數據質量和信息安全管理 推進二代征信系統建設

人民銀行上?？偛空匍_2020年上海征信管理工作會議，分析了當前征信履職面臨的形勢和要求，并就下一階段工作作出部署。>>詳細

淺談新版《網上銀行系統信息安全通用規范》之專用安全機制

隨著網上銀行客戶端的普及及運行環境的復雜提升，在傳統身份認證硬件設備上新增多種認證方式，而網上銀行系統客戶端程序運行可信計算環境中一部分需要依賴于身份認證要素硬件設備或其他認證手段來實現。>>詳細

金融數據安全規范體系基本成型 未來監管重點會在哪里？

在2020年上半年，陸陸續續有13項政策、規范面世。這些政策多多少少都與金融數據安全相關，或者說與個人金融信息安全相關。>>詳細

【安全課堂】了解“二次實名認證”騙局，認清騙子套路

不法分子通過偽基站仿冒支付機構、銀行等的官方客服電話，向特定區域內的用戶發送含釣魚鏈接的手機短信或消息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（7月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞252個，其中高危漏洞56個、中危漏洞163個、低危漏洞33個。漏洞平均分值為5.40。上周收錄的漏洞中，涉及0day漏洞44個（占17%），其中互聯網上出現“ZyXEL Armor X1 WAP6806路徑遍歷漏洞、QuickBox遠程代碼執行漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Cisco產品安全漏洞

Cisco Small Business RV016 Multi-WAN VPN等都是美國思科（Cisco）公司的一款VPN路由器。Cisco Digital NetworkArchitecture Center（DNA Center）是一套數字網絡體系結構解決方案。Cisco Unified Contact Center Express（Unified CCX）是一款統一通信解決方案中的客戶關系管理組件。Cisco AMP for EndpointsMac Connector Software是一套基于macOS平臺的集成了靜態和動態惡意軟件分析以及威脅情報的終端應用程序。Cisco Identity ServicesEngine（ISE）是一款基于身份的環境感知平臺（ISE身份服務引擎）。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問審核日志并獲取憑據，執行任意代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：多款Cisco產品緩沖區溢出漏洞（CNVD-2020-36259、CNVD-2020-36258、CNVD-2020-36257、CNVD-2020-36260）、Cisco Digital Network Architecture Center日志信息泄露漏洞、Cisco Unified Contact Center Express授權問題漏洞、Cisco AMP for Endpoints Mac Connector Software拒絕服務漏洞、Cisco Identity Services Engine拒絕服務漏洞（CNVD-2020-36263）。其中，“多款Cisco產品緩沖區溢出漏洞（CNVD-2020-36259、CNVD-2020-36258、CNVD-2020-36257、CNVD-2020-36260）”漏洞的綜合評級為“高?！?。。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android System組件權限提升漏洞（CNVD-2020-36706、CNVD-2020-36705、CNVD-2020-36704、CNVD-2020-36707）、Google Android System組件緩沖區溢出漏洞（CNVD-2020-36709、CNVD-2020-36708）、Google Android System組件資源管理錯誤漏洞（CNVD-2020-36710）、Android Media Framework權限提升漏洞（CNVD-2020-36750）。其中，“Google Android System組件緩沖區溢出漏洞（CNVD-2020-36708）、Google Android System組件資源管理錯誤漏洞（CNVD-2020-36710）、Android Media Framework權限提升漏洞（CNVD-2020-36750）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

HuaweiUSG9500等都是中國華為（Huawei）公司的產品。USG9500是一款數據中心防火墻產品。NIP6800是一套入侵防御系統。Secospace USG6600是一款下一代防火墻產品。CloudEngine 6800是一款面對數據中心的6800系列萬兆以太網交換機。CloudEngine 12800是一款12800系列數據中心交換機。Huawei Honor View 20等都是一款智能手機。USG6600是一款數據中防火墻產品。OSCA-550AX是一款55寸智慧屏。OSCA-550A是一款55寸采用華為鴻蒙操作系統的終端智慧屏。CloudUSM是華為企業云通信解決方案的核心交換設備，為語音、視頻、移動應用、多媒體會議等業務提供統一的會話和媒體控制平臺。AP2000是一款無線接入點設備。IPS Module是一款入侵防御系統（IPS）模塊。NGFW Module是一款下一代防火墻（NGFW）模塊。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行非法操作，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei NIP6800、Secospace USG6600和USG9500內存泄露漏洞（CNVD-2020-36723）、Huawei CloudEngine 6800和Huawei CloudEngine 12800拒絕服務漏洞、Huawei Honor 20 PRO、HonorView 20和Honor 20處理不當漏洞、Huawei NIP6800、Secospace USG6600和USG9500 IPSec模塊重復釋放內存漏洞、多款Huawei產品驗證不足漏洞、Huawei CloudUSM-EUA信息泄露漏洞、Huawei NIP6800、Secospace USG6600和USG9500 IPSec模塊越界讀漏洞、多款Huawei產品越界讀取漏洞（CNVD-2020-36735）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe DNG Software Development Kit（SDK）是美國奧多比（Adobe）公司的一款提供讀取和寫入DNG文件功能的軟件開發工具包。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe DNG SoftwareDevelopment Kit緩沖區溢出漏洞（CNVD-2020-38188、CNVD-2020-38187、CNVD-2020-38186、CNVD-2020-38191、CNVD-2020-38190、CNVD-2020-38189、CNVD-2020-38193、CNVD-2020-38192）。其中，“Adobe DNG SoftwareDevelopment Kit緩沖區溢出漏洞（CNVD-2020-38191、CNVD-2020-38190、CNVD-2020-38193、CNVD-2020-38192）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Honeywell ControlEdge PLC和ControlEdge RTU信息泄露漏洞

Honeywell ControlEdge PLC和ControlEdgeRTU都是美國霍尼韋爾（Honeywell）公司的產品。ControlEdge PLC是一款可編程邏輯控制器（PLC）。ControlEdge RTU是一款遠程終端單元（RTU）。上周，Honeywell ControlEdge PLC和RTU被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取未加密的密碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Cisco產品被披露存在多個漏洞，攻擊者可利用漏洞訪問審核日志并獲取憑據，執行任意代碼，導致拒絕服務。此外，Google、Huawei、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，導致拒絕服務等。另外，Honeywell ControlEdge PLC和RTU被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取未加密的密碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、全國信息安全標準化技術委員會、中國工商銀行電子銀行、移動支付網、網安前哨報道

責任編輯：韓希宇