國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞372個，互聯網上出現“WordPress Colorbox Lightbox跨站腳本漏洞、WebBuilder SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行副行長范一飛：警惕交叉業務風險、供應鏈金融安全等問題 織密風險防控的“安全網”

防范化解風險是金融工作的根本性任務，金融業要積極運用新一代信息技術豐富監管手段，探索金融風險甄別、防范、化解的新路徑，全面提升金融監管效能，織密風險防控的“安全網”。>>詳細

你真的被APP竊聽了？工信部做了32萬款APP技術檢測，結果......

10月22日，工信部新聞發言人、信息通信發展司司長聞庫表示，目前，工信部已完成國內主流應用商店32萬款APP的技術檢測工作，督促1100多家企業進行整改。>>詳細

科普知識欄｜手機丟了？別慌！四步操作降損失

在尋求警察叔叔幫助的同時，強烈建議你一秒都不要耽誤、以最快速度完成以下四步操作，以免引發“一臺手機”之外更大的財產損失！>>詳細

中國人民銀行有關部門負責人就部分金融機構侵害消費者金融信息安全權案件相關情況答記者問

截至目前，各涉案機構均已進行整改和問責，進一步健全消費者金融信息保護內部控制機制，完善信息安全技術防范措施，強化從業人員消費者金融信息安全意識。>>詳細

不同意處理個人信息，也將可以使用各種軟件！個人信息保護法（草案）征求意見，明確了很多規定

個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產品或者服務。>>詳細

金融安全三十六計

非法廣告愛吹牛，不談風險利相誘；資質權責需看清，不貪不信不上鉤。>>詳細

齊魯醫院與中國金融認證中心(CFCA)達成戰略合作 共建智慧醫療

正值山東大學齊魯醫院一百三十周年院慶之際，齊魯醫院與中國金融認證中心（CFCA）正式簽署戰略合作協議，雙方將基于開放、互聯、健康、共贏的生態合作理念，本著相互促進、優勢互補、共同發展的原則，就智慧醫院建設過程中的電子認證服務領域展開深度合作。>>詳細

跨境賭博利用數字貨幣“洗白”，警銀合力斬斷犯罪資金鏈

涉案資金不僅在銀行賬戶內流轉，還涉及數字貨幣，通過多次“洗白”，資金走向極為隱蔽。>>詳細

安全威脅播報

上周漏洞基本情況

上周（10月12日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞372個，其中高危漏洞124個、中危漏洞180個、低危漏洞68個。漏洞平均分值為5.66。上周收錄的漏洞中，涉及0day漏洞153個（占41%），其中互聯網上出現“WordPress Colorbox Lightbox跨站腳本漏洞、WebBuilder SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

CNVD收錄的相關漏洞包括：Microsoft Windows備份服務權限提升漏洞（CNVD-2020-56633、CNVD-2020-56636、CNVD-2020-56643）、Microsoft Windows應用程序兼容性客戶端庫權限提升漏洞（CNVD-2020-56634、CNVD-2020-56637）、Microsoft Windows WER權限提升漏洞、Microsoft Windows備份服務權限提升漏洞、Microsoft Windows UserProfile Service(ProfSvc)權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android代碼問題漏洞（CNVD-2020-55949、CNVD-2020-55948、CNVD-2020-55953、CNVD-2020-55952）、Google Android信息泄露漏洞（CNVD-2020-55954）、Google Android代碼執行漏洞（CNVD-2020-55957）、Google Android權限提升漏洞（CNVD-2020-55956、CNVD-2020-56129）。其中，除“Google Android信息泄露漏洞（CNVD-2020-55954）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMInformix Dynamic Server（IDS）是一款可擴展的對象關系數據庫服務器，它為集群數據中心提供持續數據可用性和災難恢復等功能。IBM Curam Social ProgramManagement是一套社會計劃管理解決方案，支持端到端社會項目交付流程。IBM Maximo AssetManagement是一個針對資產密集型行業的綜合解決方案，用于通過公共平臺管理企業實物資產。IBM Security AccessManager是一款簡單的訪問管理解決方案,可幫助企業防范威脅漏洞。IBM Cognos Analytics是一套商業智能軟件，可提供有價值的信息、安全的數據治理和報告。IBM InfoSphere Information Server是一套數據整合平臺，包含一系列產品，使您能夠理解、清理、監控、轉換及傳送數據，以及協作以彌合業務與IT之間的差距。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過認證，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM Security Guardium信息泄露漏洞（CNVD-2020-56393）、IBM InfoSphere InformationServer HTML注入漏洞、IBM Security Guardium CSV注入漏洞、IBM Informix Dynamic Server授權問題漏洞、IBM Curam Social Program Management跨站請求偽造漏洞（CNVD-2020-56450）、IBM Maximo AssetManagement認證繞過漏洞、IBM Security AccessManager跨站腳本漏洞（CNVD-2020-56453）、IBM Cognos Analytics CSV注入漏洞。其中，“IBM Security Guardium CSV注入漏洞、IBM Curam Social Program Management跨站請求偽造漏洞（CNVD-2020-56450）、IBM Maximo AssetManagement認證繞過漏洞、IBM Cognos Analytics CSV注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco StarOS是一套路由器操作系統，可控制整個系統邏輯，可控制進程和CLI。Cisco IOS XE是美國Cisco公司為其網絡設備開發的一套基于Linux內核的模塊化操作系統。Cisco FXOS是Firepower可擴展操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco StarOS權限提升漏洞（CNVD-2020-56458、CNVD-2020-56463）、Cisco IOS XE拒絕服務漏洞（CNVD-2020-56462、CNVD-2020-56629）、Cisco IOS XE命令注入漏洞（CNVD-2020-56465）、Cisco FXOS緩沖區溢出漏洞、Cisco IOS XE Software任意代碼執行漏洞、Cisco IOS XE任意代碼執行漏洞（CNVD-2020-56468）。其中，除“Cisco StarOS權限提升漏洞（CNVD-2020-56458）\Cisco IOS XE拒絕服務漏洞（CNVD-2020-56462）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

GitLab跨站腳本漏洞（CNVD-2020-56448）

GitLab是一個利用Ruby on Rails開發的開源應用程序，實現一個自托管的Git項目倉庫，可通過Web界面進行訪問公開的或者私人項目。上周，GitLab被披露存在跨站腳本漏洞。攻擊者可通過組名稱利用該漏洞進行跨站腳本攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。此外，Google、IBM、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過認證，獲取敏感信息，提升權限，執行任意代碼，導致拒絕服務等。另外，GitLab被披露存在跨站腳本漏洞。攻擊者可通過組名稱利用該漏洞進行跨站腳本攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、第一財經、每日經濟新聞、中國證券報、中國電信客服、河北銀行彩虹Bank報道

責任編輯：韓希宇