國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞381個，互聯網上出現“vBulletin跨站腳本漏洞、vsftpd操作系統命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

守護個人信息安全 不能止于對銀行事后問責

個人信息保護的法律防線正在不斷筑牢，將為信息安全提供強有力的保障。>>詳細

建信金科與360成立金融安全聯合創新實驗室

建信金科與360正式宣布，開啟金融科技創新領域全方位深度合作，深耕網絡安全和金融科技等領域，共同打造“金融安全聯合創新實驗室”，共建金融科技創新發展“護城河”。>>詳細

“金融密碼杯”2020全國密碼應用和技術創新大賽啟動

密碼技術是保障金融網絡安全的關鍵，是支持金融科技創新應用的基石。>>詳細

【防賭反賭 金融守護】系列八：認清賭博危害 抵制賬戶買賣

中國支付清算協會的舉報投訴渠道，鼓勵群眾對參賭以及組織賭博人員及相關違法行為進行舉報。>>詳細

金融App治理行動范圍進一步擴大 自動檢測平臺將上線

對于金融機構來說，工信部的App侵犯用戶權益專項整治行動非常重要。從級別上來說，此次專項整治行動是目前所有行動中級別最高的；從重要程度上將，金融行業由于其特殊性，必然是重點關注對象。>>詳細

銀行須重視“反逃稅與反洗錢”聯結性

銀行要把反逃稅(反避稅)和反洗錢進行聯結，目的在于通過反逃稅對反洗錢產生積極作用，同時也運用反洗錢機制達到更精準的反逃稅目的。>>詳細

安全威脅播報

上周漏洞基本情況

上周（8月17日-23日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞381個，其中高危漏洞135個、中危漏洞202個、低危漏洞44個。漏洞平均分值為5.91。上周收錄的漏洞中，涉及0day漏洞151個（占40%），其中互聯網上出現“vBulletin跨站腳本漏洞、vsftpd操作系統命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android Framework權限繞過漏洞（CNVD-2020-46320、CNVD-2020-46323、CNVD-2020-46321）、Google Android MediaFramework越界讀取漏洞（CNVD-2020-46322、CNVD-2020-46324）、Google Android KernelAudio組件緩沖區溢出漏洞、Google Android KernelAudio組件權限提升漏洞、Google Android MediaFramework越界寫入漏洞（CNVD-2020-46325）。其中，“Google Android Kernel Audio組件緩沖區溢出漏洞、Google Android Kernel Audio組件權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取本地文件，修改文件擴展，執行任意代碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2020-46331、CNVD-2020-46338）、Mozilla Firefox輸入驗證錯誤漏洞（CNVD-2020-46333）、Mozilla Firefox代碼問題漏洞（CNVD-2020-46337、CNVD-2020-46339）、Mozilla Firefox產品認證繞過漏洞、Mozilla Firefox路徑遍歷漏洞、Mozilla Firefox安全限制繞過漏洞（CNVD-2020-46451）。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

HuaweiFusionCompute是中國華為（Huawei）公司的一款計算機虛擬化引擎。Huawei Mate 30是一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，提升權限，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei FusionCompute命令注入漏洞、Huawei FusionCompute設計不當漏洞、Huawei FusionCompute信息泄露漏洞（CNVD-2020-46462、CNVD-2020-46464、CNVD-2020-47548）、Huawei Mate 30拒絕服務漏洞、Huawei FusionCompute授權問題漏洞、Huawei FusionCompute本地權限提升漏洞。其中，“Huawei FusionCompute命令注入漏洞、Huawei FusionCompute設計不當漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美國微軟（Microsoft）公司的產品。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，損壞內存等。

CNVD收錄的相關漏洞包括：Microsoft Windows GraphicsComponents遠程代碼執行漏洞（CNVD-2020-46637）、Microsoft Windows Kernel權限提升漏洞（CNVD-2020-46636）、Microsoft Windows和Windows Server權限提升漏洞（CNVD-2020-46639、CNVD-2020-46643）、Microsoft Windows StateRepository Service權限提升漏洞（CNVD-2020-46640、CNVD-2020-46641、CNVD-2020-46642）、Microsoft Edge代碼執行漏洞（CNVD-2020-46810）。其中，“Microsoft Windows Graphics Components遠程代碼執行漏洞（CNVD-2020-46637）、Microsoft Windows和Windows Server權限提升漏洞（CNVD-2020-46639、CNVD-2020-46643）、Microsoft Edge代碼執行漏洞（CNVD-2020-46810）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat libvirt權限提升漏洞

Red Hat libvirt是美國紅帽（Red Hat）公司的一個用于實現Linux虛擬化功能的Linux API，它支持各種Hypervisor，包括Xen和KVM，以及QEMU和用于其他操作系統的一些虛擬產品。上周，Red Hat libvirt被披露存在權限提升漏洞。攻擊者可利用該漏洞訪問libvirt并提升權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。此外，Mozilla、Huawei、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取信息，提升權限，執行任意代碼，導致拒絕服務等。另外，Red Hat libvirt被披露存在權限提升漏洞。攻擊者可利用該漏洞訪問libvirt并提升權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、中國支付清算協會、每日經濟新聞、第一財經、移動支付網報道

責任編輯：韓希宇