國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞301個，互聯網上出現“Travel Management System SQL注入漏洞、OpenEMR 'controller'遠程代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

護航個人信息進行時｜機制先行 標準指引 App專項治理為個人信息保護“擰緊閥門”

App專項治理工作組成立以來，圍繞著專項治理的行動要求，從推動App違法違規收集使用個人信息評估工作、引導App運營者嚴格依法履行個人信息保護義務兩個方面展開工作。>>詳細

工信部印發《關于運用大數據推進防范治理電信網絡詐騙長效機制建設工作方案》

在技術平臺方面，《方案》提出打造信息通信行業反詐大數據技術手段，持續提升大數據技術管控水平。>>詳細

數據安全法草案征求意見結束：行業如何識別管理“重要數據”

重要數據若交由各地自行決定，可能導致不當擴大或縮小重要數據范圍，還可能導致數據跨地區流動和處理，引發法律規避。>>詳細

周鴻祎再揭手機“偷聽”現象 信息安全亟待完善

周鴻祎稱，有的手機軟件會打開用戶攝像頭或麥克風偷偷錄音，從中找關鍵詞試圖匹配用戶明天的興趣愛好。他稱自己也遇到過類似情況，但不指名字了。>>詳細

保險“掌上辦”，如何讓業務更安全？用戶更放心？

對于保險行業來說，業務所涉及的核心場景包括用戶資料核保審核、保單簽署、保費繳納、電子化回訪、快速理賠等，每一環都需要配置相應的“功能”以規避風險。>>詳細

線上銀行業務洗錢典型案例分析

為推動行業反洗錢工作經驗交流，協會面向會員單位征集反洗錢實踐案例，銀行、保險、消費金融、第三方支付、金融科技等領域的會員積極投稿，較好反映了互聯網金融領域反洗錢工作取得的新成果。>>詳細

評論丨以構建數據安全標準體系為契機，推動數字經濟全球化

《指南》涉及基礎共性標準、關鍵技術標準、安全管理標準和重點領域標準四大方面，其中基礎共性標準提供了中國整個數據體系的基礎性、通用性框架。>>詳細

中國網絡空間安全協會理事長王秀軍出席第八屆互聯網安全大會并致辭

伴隨信息技術的快速發展，網絡空間與現實世界深度融合，全球各國對于網絡的依賴不斷加深，作為人類共同的活動空間，網絡空間正逐步成為人類生產生活的重要場所。>>詳細

安全威脅播報

上周漏洞基本情況

上周（8月10日-16日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞301個，其中高危漏洞124個、中危漏洞158個、低危漏洞19個。漏洞平均分值為6.27。上周收錄的漏洞中，涉及0day漏洞176個（占58%），其中互聯網上出現“Travel Management System SQL注入漏洞、OpenEMR 'controller'遠程代碼執行漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。Adobe Acrobat是一款PDF編輯軟件。上周，上述產品被披露存在越界讀取漏洞，攻擊者可利用漏洞獲取信息。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader越界讀取漏洞（CNVD-2020-46036、CNVD-2020-46035、CNVD-2020-46039、CNVD-2020-46038、CNVD-2020-46037、CNVD-2020-46041、CNVD-2020-46040、CNVD-2020-46043）。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Excel是一款Office套件中的電子表格處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Windows ALPC權限提升漏洞、Microsoft Excel緩沖區溢出漏洞（CNVD-2020-45184）、Microsoft Hyper-V RemoteFX vGPU緩沖區溢出漏洞（CNVD-2020-45325、CNVD-2020-45324、CNVD-2020-45323）、Microsoft Windows Hyper-VRemoteFX vGPU輸入驗證錯誤漏洞、Microsoft Windows Hyper-VRemoteFX vGPU遠程代碼執行漏洞、Microsoft Hyper-V RemoteFXvGPU資源管理錯誤漏洞。其中，除“Microsoft Windows ALPC權限提升漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，提升權限，執行代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android MediaFramework權限提升漏洞（CNVD-2020-46237）、Google Android Framework緩沖區溢出漏洞（CNVD-2020-46263）、Google Android MediaFramework信息泄露漏洞（CNVD-2020-46266、CNVD-2020-46265）、Google Android MediaFramework資源管理錯誤漏洞（CNVD-2020-46264）、Google Android Media Framework緩沖區溢出漏洞（CNVD-2020-46267）、Google Android MediaFramework拒絕服務漏洞（CNVD-2020-46272）、Google Android Framework越界讀取漏洞。其中，“Google Android Media Framework權限提升漏洞（CNVD-2020-46237）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Tomcat是一款輕量級Web應用服務器。Apache HTTP Server是一款開源網頁服務器。Struts2 是Apache軟件基金會負責維護的一個基于MVC設計模式的Web應用框架開源項目。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，執行任意代碼，造成拒絕服務（無限循環）等。

CNVD收錄的相關漏洞包括：Apache Struts2 S2-059遠程代碼執行漏洞、Apache Struts2 S2-060拒絕服務漏洞、Apache Tomcat資源管理錯誤漏洞（CNVD-2020-46233）、Apache Tomcat代碼問題漏洞、Apache Tomcat拒絕服務漏洞（CNVD-2020-46230）、Apache HTTP Server數據偽造問題漏洞、Apache HTTP Server環境問題漏洞、Apache HTTP Server緩沖區溢出漏洞。其中，“Apache Struts2 S2-059遠程代碼執行漏洞、Apache Struts2 S2-060拒絕服務漏洞、Apache HTTP Server緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco 7947G權限提升漏洞

Cisco 7947G是美國思科（Cisco）公司的一款在線會議終端設備。上周，Cisco 7947G被披露存在權限提升漏洞。攻擊者可利用該漏洞提升權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在越界讀取漏洞，攻擊者可利用漏洞獲取信息。此外，Microsoft、Google、Apache等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，提升權限，執行代碼，造成拒絕服務（無限循環）等。另外，Cisco 7947G被披露存在權限提升漏洞。攻擊者可利用該漏洞提升權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、網信中國、中國互聯網金融協會、21世紀經濟報道、第一財經報道

責任編輯：韓希宇