國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞395個，互聯網上出現“Linux expand_downwards()競爭條件漏洞、Open Solutions for Education openSIS SQL注入漏洞（CNVD-2020-52193）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

徹底涼涼？金融消費者權益保護辦法出臺 大數據爬蟲行業未來怎么走

《辦法》的出臺或能扼制目前各種APP“鉆空子”獲取消費者信息的行為。>>詳細

我的個人金融信息拒絕被“共享”

互聯網信息互通時代，個人金融信息若不慎泄露，有被不法分子利用的危險。>>詳細

反假貨幣宣傳月 | 警示篇

假幣犯罪處罰典型案例，制作、買賣、使用、運輸假幣違法！>>詳細

關于發布《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息保護常見問題及處置指南》的通知

《實踐指南》針對App存在的超范圍收集、強制索權、頻繁索權等問題，給出了當前App個人信息保護十大常見問題和處置指南。>>詳細

云閃付APP獲得網信辦APP安全認證證書

作為銀行業統一APP，云閃付APP自發布以來功能持續優化完善，個人信息保護和安全水平持續提升。>>詳細

2020年金融網絡安全宣傳周宣傳手冊（上）

《網絡安全法》第四十四條規定：任何個人和組織不得竊取或者以其他法非方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。>>詳細

2020年金融網絡安全宣傳周宣傳手冊（下）

涉及資金交易的密碼既要盡可能復雜，應該包含數字、字母和符號多個類型，但也要便于記憶。>>詳細

安全記心頭 | 電信詐騙處處有 安全意識層層防

騙術層出不窮，再三提防都不為過！快來看看最新防電信詐騙的招數。>>詳細

銀行防范逃匯洗錢風險分析

銀行在外匯業務中須特別關注涉嫌非法跨境轉移的資金，也就是關注疑似逃匯的可疑交易特征。>>詳細

安全威脅播報

上周漏洞基本情況

上周（9月14日-20日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞395個，其中高危漏洞94個、中危漏洞231個、低危漏洞70個。漏洞平均分值為5.43。上周收錄的漏洞中，涉及0day漏洞51個（占13%），其中互聯網上出現“Linux expand_downwards()競爭條件漏洞、Open Solutions for Education openSIS SQL注入漏洞（CNVD-2020-52193）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

McAfee產品安全漏洞

McAfee Data Loss Prevention Endpoint（DLPe）是美國邁克菲（McAfee）公司的一套集成式終端數據保護解決方案。McAfee Web Gateway是高性能安全Web網關，采用一個統一的設備軟件架構,具有同類最佳的威脅防護。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過Windows鎖屏，訪問受保護的配置文件，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：McAfee Data LossPrevention Endpoint緩沖區溢出漏洞（CNVD-2020-51803、CNVD-2020-51804）、McAfee Data LossPrevention Endpoint身份驗證繞過漏洞、McAfee Web Gateway權限提升漏洞（CNVD-2020-52201、CNVD-2020-52202、CNVD-2020-52200、CNVD-2020-52199、CNVD-2020-52198）。其中，“McAfee Web Gateway權限提升漏洞（CNVD-2020-52198）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Windows Kernel權限提升漏洞（CNVD-2020-52072、CNVD-2020-52077）、Microsoft Windows Function Discovery SSDP權限提升漏洞、Microsoft Windows dnsrslvr.dll權限提升漏洞、Microsoft Windows Ancillary Function Driver for WinSock權限提升漏洞、Microsoft Windows Jet Database Engine遠程代碼執行漏洞（CNVD-2020-52085、CNVD-2020-52084、CNVD-2020-52086）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

AdobeAcrobat和Reader都是美國奧多比（Adobe）公司的產品。Adobe Acrobat是一套PDF文件編輯和轉換工具。Reader是一套PDF文檔閱讀軟件。Adobe Magento是一套開源的PHP電子商務系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Magento身份驗證繞過漏洞、Adobe Acrobat和Reader內存破壞漏洞（CNVD-2020-52166、CNVD-2020-52168）、Adobe Acrobat和Reader類型混淆漏洞（CNVD-2020-52170、CNVD-2020-52173、CNVD-2020-52172、CNVD-2020-52171）、Adobe Magento Open Source和MagentoCommerce代碼注入漏洞。其中，“Adobe Acrobat和Reader內存破壞漏洞（CNVD-2020-52166、CNVD-2020-52168）、Adobe Magento身份驗證繞過漏洞、Adobe Magento Open Source和Magento Commerce代碼注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Blade Center是一款IBM的服務器管理程序。IBM Maximo AssetManagement是一套綜合性資產生命周期和維護管理解決方案。IBM Spectrum Protect Plus是一套數據保護平臺。IBM Spectrum Protect是一套數據保護平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過受影響客戶端向服務器發送非預期的請求，訪問受限目錄之外的位置，在目標用戶上下文執行惡意操作，執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM BladeCenter跨站請求偽造漏洞（CNVD-2020-52190、CNVD-2020-52615）、IBM Maximo Asset Management跨站請求偽造漏洞（CNVD-2020-52459）、IBM Maximo AssetManagement反向標簽劫持漏洞、IBM Maximo AssetManagement代碼執行漏洞、IBM Maximo AssetManagement SQL注入漏洞（CNVD-2020-52460）、IBM Spectrum Protect Plus路徑遍歷漏洞（CNVD-2020-52458、CNVD-2020-52457）。其中“IBM Maximo Asset Management代碼執行漏洞、IBM BladeCenter跨站請求偽造漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NVIDIA Linux GPU Display Driver競爭條件問題漏洞

NVIDIA Linux GPU Display Driver是美國英偉達（NVIDIA）公司的一款專用于Linux平臺的圖形處理器（GPU）顯卡驅動程序。上周，NVIDIA Linux GPU DisplayDriver產品被披露存在競爭條件問題漏洞。攻擊者可利用該漏洞造成拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，McAfee產品被披露存在多個漏洞，攻擊者可利用漏洞繞過Windows鎖屏，訪問受保護的配置文件，導致緩沖區溢出或堆溢出等。此外，Microsoft、Adobe、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，提升權限，執行任意代碼等。另外，NVIDIA Linux GPU Display Driver產品被披露存在競爭條件問題漏洞。攻擊者可利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、信安標委、中國銀聯、第一財經日報、工銀融e行、交通銀行微銀行、財聯社報道

責任編輯：韓希宇