國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞465個，互聯網上出現“WordPress Vanguard跨站腳本漏洞、Metasploit Framework相對路徑遍歷漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行李偉：“數字鴻溝”問題不容忽視

部分機構在商業利益驅使下，過分追蹤與收集用戶“數字足跡”，不當使用數據驅動式營銷策略，無節制地侵占用戶私人空間，引起消費者反感與不適。>>詳細

一圖速覽！2020年國家網絡安全宣傳周亮點內容搶“鮮”看

2020年國家網絡安全宣傳周將于9月14日至20日在全國范圍內統一開展，主題為“網絡安全為人民，網絡安全靠人民”。>>詳細

開卷識詐:教你識別非法金融廣告

非法廣告愛吹牛，不談風險利相誘，資質權責須看清，不貪不信不上鉤。>>詳細

北京市通信管理局啟動APP數據安全檢測專項行動

北京管局要求各相關企業按照APP數據安全巡查檢測專項行動的工作方案要求，按照《網絡安全法》及相關管理規定，認真履行自身數據安全保護主體責任，積極開展自查自糾。>>詳細

Cloud PKI平臺正式上線 SSL證書輕松管理

Cloud PKI平臺能夠實現服務器證書的全生命周期管理、域名及身份自動核驗等功能。>>詳細

新生防騙指南

利息低這事，你要三思。>>詳細

有可信數字簽名作支撐 智慧司法建設穩了！

實現智慧司法，推進審判體系和審判能力的現代化，離不開信息化建設。而其中，如何實現線上業務的身份認證、完成場景固化及事后追溯尤為關鍵。>>詳細

銀保監會發文規范保險公司健康管理服務 內容涉及保護數據安全與個人隱私

未經客戶授權不得對外提供客戶個人信息或任何健康數據，依法保證數據安全和保護個人隱私。>>詳細

安全威脅播報

上周漏洞基本情況

上周（8月31日-9月6日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞465個，其中高危漏洞131個、中危漏洞274個、低危漏洞60個。漏洞平均分值為5.73。上周收錄的漏洞中，涉及0day漏洞77個（占17%），其中互聯網上出現“WordPress Vanguard跨站腳本漏洞、Metasploit Framework相對路徑遍歷漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在安全繞過漏洞，攻擊者可利用漏洞繞過安全限制。

CNVD收錄的相關漏洞包括：Google Chrome安全繞過漏洞（CNVD-2020-49907、CNVD-2020-49909、CNVD-2020-49908、CNVD-2020-49912、CNVD-2020-49911、CNVD-2020-49910、CNVD-2020-49914、CNVD-2020-49913）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco SD-WAN vManage Software是美國思科（Cisco）公司的一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。Cisco Prime License Manager Software是一套用于Cisco產品的許可證管理軟件。Cisco IOS和Cisco IOS XR都是為其網絡設備開發的操作系統。Cisco NX-OS是適用于Cisco Nexus系列以太網交換機和MDS系列光纖通道存儲區域網絡交換機的網絡操作系統。Cisco Connected Mobile Experiences (CMX)是一種智能Wi-Fi解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以root權限執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco SD-WAN vManageSoftware輸入驗證錯誤漏洞、Cisco Prime LicenseManager Software信任管理問題漏洞、Cisco IOS和Cisco IOS XR資源管理錯誤漏洞、Cisco NX-OS遠程代碼執行漏洞、Cisco NX-OS拒絕服務漏洞（CNVD-2020-49933、CNVD-2020-50288）、Cisco NX-OS命令注入漏洞（CNVD-2020-49932）、Cisco Connected Mobile Experiences權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

MicrosoftWindows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Excel是一款Office套件中的電子表格處理軟件。Microsoft Outlook是一套電子郵件應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows和Microsoft Windows Server權限提升漏洞（CNVD-2020-49360、CNVD-2020-49359、CNVD-2020-49358）、Microsoft Windows和Microsoft Windows Server遠程代碼執行漏洞（CNVD-2020-49363）、Microsoft Excel內存破壞代碼執行漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-50145、CNVD-2020-49506）、Microsoft Outlook代碼執行漏洞。其中，除 “Microsoft Windows和Microsoft Windows Server權限提升漏洞（CNVD-2020-49360、CNVD-2020-49359）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM i2 Analysts Notebook是美國IBM公司的一款數據可視化分析工具。IBM Sterling Connect：Direct是一套基于文件的點對點文件傳輸解決方案。IBM Security Guardium DataEncryption (GDE)提供了一組模塊化的加密解決方案，可幫助安全團隊有效地實現整個組織的靜態數據安全性。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，導致緩沖區溢出等。

CNVD收錄的相關漏洞包括：IBM i2 Analysts Notebook緩沖區溢出漏洞（CNVD-2020-49391、CNVD-2020-49392、CNVD-2020-49393、CNVD-2020-49394、CNVD-2020-49395）、IBM SterlingConnect:Direct for UNIX棧緩沖區溢出漏洞、IBM Security Guardium DataEncryption (GDE)硬編碼憑據漏洞、IBM Security Guardium DataEncryption (GDE)任意命令執行漏洞。其中，“IBM Sterling Connect:Directfor UNIX棧緩沖區溢出漏洞、IBM Security Guardium DataEncryption (GDE)硬編碼憑據漏洞、IBM Security Guardium DataEncryption (GDE)任意命令執行漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat oVirt跨站腳本漏洞

Red Hat oVirt是美國紅帽（Red Hat）公司的一套開源的虛擬化管理平臺，是RHEV（企業虛擬化平臺）的開源版本，由ovirt-node客戶端和overt-engine管理端組成。上周，Red Hat oVirt被披露存在跨站腳本漏洞。遠程攻擊者可利用該漏洞實施釣魚攻擊，竊取用戶cookie或其他敏感信息，或冒充其他用戶。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制。此外，Cisco、Microsoft、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，導致拒絕服務，緩沖區溢出等。另外，Red Hat oVirt被披露存在跨站腳本漏洞。遠程攻擊者可利用該漏洞實施釣魚攻擊，竊取用戶cookie或其他敏感信息，或冒充其他用戶。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、銀保監會、網信中國、北京市通信管理局、第一財經報道

責任編輯：韓希宇