國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞716個，互聯網上出現“QEMU OS命令注入漏洞、Wordpress EZ-done File Manager遠程文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

監管出手整治 APP收集個人信息需規范合規

獲證App可以在應用市場、搜索引擎使用認證標志，并獲得優先推薦，向消費者和用戶傳遞安全信任，引導網民在下載同類App時優先選擇獲證App。>>詳細

中國銀聯加入PCI安全標準委員會戰略會員

這將助力提升全球支付安全標準的一致性，推動支付產業共同應對新興威脅，以更好地保護全球消費者、金融機構和商戶的支付安全。>>詳細

世界互聯網大會組委會發布《攜手構建網絡空間命運共同體行動倡議》

加強個人信息保護和數據安全管理。規范個人信息收集、存儲、使用、加工、傳輸、提供、公開等行為，保障個人信息安全，開展數據安全和個人信息保護及相關規則、標準的國際交流合作，推動符合《聯合國憲章》宗旨的個人信息保護規則標準國際互認。>>詳細

后“雙11”時代，個人信息泄露高峰乍現

近年來，隨著網絡購物、直播帶貨越來越流行以及消費場景的不斷變化，網絡購物帶給我們便利的同時，問題也隨之涌現。>>詳細

違規采集、留存、泄露客戶數據待剎車！互金協會呼吁《數據安全法》等法律法規盡快出臺

金融業作為數據密集型和科技驅動型行業，如何平衡好數據要素融合應用和安全保護，充分發揮金融業數據要素的經濟社會價值，已經成為一項重要而緊迫的課題。>>詳細

銀行防范個人自助設備開卡洗錢風險

銀行使用自助設備為個人客戶開卡的洗錢風險，主要存在于冒名開戶，當不法分子利用自助設備進行個人開戶時，因遠程審核人員無法看到客戶簽名完整過程，自然存在冒名簽字風險，銀行當然就無法有效識別開戶人本人簽字的真實性。>>詳細

央行、公安部嚴打對公賬戶違法犯罪

近期，央行及公安部門嚴打圍繞對公賬戶的違法犯罪行為，并已經有多個案件出現。>>詳細

金融也能直播“帶貨”？小心有風險！

有些關于金融直播“帶貨”行為存在著風險隱患，需要引起消費者的關注。>>詳細

關于35款App存在個人信息收集使用問題的通告

App違法違規收集使用個人信息治理工作組評估發現，35款App存在個人信息收集使用問題，建議相關App運營者及時對存在的問題進行整改。>>詳細

安全威脅播報

上周漏洞基本情況

上周（11月9日-15日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞716個，其中高危漏洞247個、中危漏洞390個、低危漏洞79個。漏洞平均分值為6.00。上周收錄的漏洞中，涉及0day漏洞471個（占66%），其中互聯網上出現“QEMU OS命令注入漏洞、Wordpress EZ-done File Manager遠程文件上傳漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Microsoft產品安全漏洞

Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。Microsoft Excel是一款Office套件中的電子表格處理軟件。Microsoft .NET Framework是一種全面且一致的編程模型，也是一個用于構建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的應用程序的開發平臺。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Edge PDF Reader遠程代碼執行漏洞（CNVD-2020-61586、CNVD-2020-61593）、Microsoft Edge遠程代碼執行漏洞（CNVD-2020-61587）、Microsoft Internet Explorer VBScript遠程代碼執行漏洞（CNVD-2020-61605）、Microsoft Excel遠程代碼執行漏洞（CNVD-2020-62335、CNVD-2020-62338）、Microsoft .NET Framework遠程代碼執行漏洞（CNVD-2020-62333、CNVD-2020-62340）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，進行堆破壞等。

CNVD收錄的相關漏洞包括：Google Chrome信息泄漏漏洞（CNVD-2020-61091）、Google Chrome安全繞過漏洞（CNVD-2020-61101）、Google Chrome資源管理錯誤漏洞（CNVD-2020-62477、CNVD-2020-62476、CNVD-2020-62475、CNVD-2020-62480、CNVD-2020-62479）、Google Chrome緩沖區溢出漏洞（CNVD-2020-62478）。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoIOS XR是美國思科（Cisco）公司的一套為其網絡設備開發的操作系統。Cisco SD-WAN vEdge是是一款路由器。Cisco IP Phone 8800 Series是一款8800系列的IP電話。Cisco Identity Services Engine (ISE)是下一代身份和訪問控制策略平臺，使企業能夠執行合規性、增強基礎架構安全性并簡化其服務操作。Cisco SD-WAN Solution是Cisco的一套網絡擴展解決方案，vManage是其中的控制臺。Cisco Video Surveillance 8000 Series IP Cameras是一款視頻監控攝像頭。Cisco FXOS Software是一套運行在思科安全設備中的防火墻軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過限制，提升特權，進行跨站點請求偽造(CSRF)攻擊，執行命令等。

CNVD收錄的相關漏洞包括：Cisco IOS XR -bit PrebooteXecution Environment訪問控制錯誤漏洞、Cisco SD-WAN vEdge訪問控制錯誤漏洞、Cisco IP Phone TCP報文拒絕服務漏洞、Cisco Identity Services Engine權限提升漏洞、Cisco SD-WAN vManage命令注入漏洞（CNVD-2020-61949）、Cisco Video Surveillance8000 Series IP Cameras資源管理錯誤漏洞、Cisco FXOS命令執行漏洞、Cisco FXOS跨站請求偽造漏洞。其中，“Cisco IOS XR -bit PrebooteXecution Environment訪問控制錯誤漏洞、Cisco IP Phone TCP報文拒絕服務漏洞、Cisco FXOS命令執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Process Integration是SAP的企業應用程序集成（EAI）軟件，用于在公司中的SAP與非SAP應用程序之間或與公司外部的系統之間進行無縫集成。SAP Commerce Cloud是面向B2B、B2C和B2B2C公司的云原生全渠道商務解決方案。SAP Netweaver是一套面向服務的集成化應用平臺。SAP Solution Manager是一套集系統監控、SAP支持桌面、自助服務、ASAP實施等多個功能為一體的系統管理平臺。SAP Business Objects Business Intelligence Platform是一套商業智能軟件和企業績效解決方案套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：SAP Process Integration信息泄露漏洞、SAP Commerce Cloud信息泄露漏洞、SAP Commerce Cloud服務器端請求偽造漏洞、SAP Commerce Cloud拒絕服務漏洞、SAP NetWeaver輸入驗證錯誤漏洞、SAP Solution Manager未授權訪問漏洞、SAP Solution Manager內存破壞漏洞、SAP Business Objects Business Intelligence Platform訪問控制錯誤漏洞（CNVD-2020-62944）。其中，“SAP Commerce Cloud拒絕服務漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

QNAP Systems TS-870跨站腳本漏洞（CNVD-2020-62488）

QNAP Systems TS-870是一款NAS（網絡附屬存儲）設備。上周，QNAP Systems TS-870被披露存在跨站腳本漏洞。該漏洞源于WEB應用缺少對客戶端數據的正確驗證。攻擊者可利用該漏洞執行客戶端代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。此外，Google、Cisco、SAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，，提升特權，獲取敏感信息，進行跨站點請求偽造(CSRF)攻擊，執行命令等。另外，QNAPSystems TS-870被披露存在跨站腳本漏洞。該漏洞源于WEB應用缺少對客戶端數據的正確驗證。攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經日報、財聯社、移動支付網、中國銀聯、App個人信息舉報、河北銀行彩虹Bank、世界互聯網大會組委會報道

責任編輯：韓希宇