國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞360個，互聯網上出現“SourceCodester GymManagement System跨站腳本漏洞、WordPress Fancy ProductDesigner For WooCommerce文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行：改進技術手段 避免將風控責任全壓在開戶環節

嚴查風暴之下，依然有銀行因對公賬戶監測不到位等問題而被處罰。>>詳細

工業和信息化部組織召開全國APP個人信息保護監管會

工業和信息化部信息通信管理局介紹了APP個人信息保護相關工作情況，并對相關企業存在的推諉、故意拖延整改、落實整改不到位等問題進行了通報。>>詳細

關于發布《網絡安全標準實踐指南—移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引》的通知

《實踐指南》給出了SDK常見安全風險，針對當前App使用SDK過程中存在的SDK自身安全漏洞、SDK惡意行為、SDK違法違規收集App用戶的個人信息問題，結合當前移動互聯網技術及應用現狀，給出了App提供者、SDK提供者針對SDK安全問題的實踐指引。>>詳細

2020年我國網絡安全產業規模預估將超1700億元

2020年我國網絡安全產業規模預估將超過1700億元，較2015年翻了一番。>>詳細

“人臉識別”背后的渠道商生態

售樓處安裝了“人臉識別”之后，凡是渠道拜訪客戶，開發商都會進行人臉比對，如果發現其之前主動到訪過，就認為銷售人員帶看無效，不需要付傭金，由此節省一筆成本。>>詳細

CFCA趙宇：全生命周期數據安全治理 助力金融機構行穩致遠

科學的防護體系，可以讓數據安全相關工作事半功倍，高效地降低數據泄露的風險。在運用DLP（Data Loss Prevention）數據泄露防護方法論之前，要先明確DME（Discovery Monitoring Enforcement）。>>詳細

數字經濟潮流勢不可擋 安全體系需與時俱進

隨著購物、支付、理財等網絡活動滲透率不斷提升，一些從業機構積累了海量客戶行為數據和交易數據，但其數據保護意識、內部管理水平和網絡攻擊防范能力存在不足，也會增加數據集中之后泄露的風險。>>詳細

姣姣說消保 | 丟手機的第一件事不是心疼！趕緊這樣做，避免更多財產損失

移動支付時代的手機幾乎等同于錢包+各類理財賬戶集錦，手機銀行、支付寶、微信錢包、證券、基金軟件都綁定了銀行卡，一旦手機遺失，若處理不當可能會導致更多資金損失。>>詳細

安全威脅播報

上周漏洞基本情況

上周（11月23日-29日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞360個，其中高危漏洞89個、中危漏洞200個、低危漏洞71個。漏洞平均分值為5.79。上周收錄的漏洞中，涉及0day漏洞126個（占35%），其中互聯網上出現“SourceCodester GymManagement System跨站腳本漏洞、WordPress Fancy ProductDesigner For WooCommerce文件上傳漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apple產品安全漏洞

Apple macOS Catalina是一款蘋果公司的Mac平臺上的操作系統。Apple iOS是一套為移動設備所開發的操作系統。Apple iPadOS是一套用于iPad平板電腦的操作系統。Apple watchOS是一套智能手表操作系統。Apple tvOS是一套智能電視操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以內核權限執行任意代碼等。

CNVD收錄的相關漏洞包括：Apple macOS Catalina藍牙內存破壞漏洞、多款Apple產品Kernel組件內存破壞漏洞（CNVD-2020-65921、CNVD-2020-65922）、多款Apple產品Kernel組件信息泄露漏洞（CNVD-2020-65923）、多款Apple產品越界讀取漏洞（CNVD-2020-65927）、多款Apple產品Kernel組件整數溢出漏洞、多款Apple產品內存破壞漏洞（CNVD-2020-65942）、多款Apple產品內存初始化漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Security Manager（CSM）是一套企業級的管理應用，它主要用于在Cisco網絡和安全設備上配置防火墻、VPN和入侵保護安全服務。Cisco DNA Spaces:Connector用于將Cisco DNA Spaces連接到Cisco無線控制器。Cisco IntegratedManagement Controller (IMC)是一個為Cisco UCS C系列機架式服務器和Cisco S系列存儲服務器提供嵌入式服務器管理的基板管理控制器。Cisco IoT Field Network Director (FND)是大規模FAN部署的網絡管理系統。Cisco Adaptive SecurityAppliance (ASA)軟件是為Cisco ASA系列提供核心操作系統。Cisco SD-WAN Solution是Cisco的一套網絡擴展解決方案，vManage是其中的控制臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問后端數據庫并讀取、更改或刪除信息，執行任意命令，導致設備重新加載等。

CNVD收錄的相關漏洞包括：Cisco Security Manager輸入驗證錯誤漏洞、Cisco DNA Spaces Connector命令注入漏洞、Cisco Integrated Management Controller遠程代碼執行漏洞、Cisco IoT Field Network Director SOAP API授權繞過漏洞、Cisco IoT Field Network Director權限提升漏洞、Cisco Adaptive Security Appliance (ASA)軟件拒絕服務漏洞、Cisco SD-WAN vManage XML外部實體注入漏洞（CNVD-2020-66212、CNVD-2020-66211）。其中，除“Cisco SD-WAN vManage XML外部實體注入漏洞（CNVD-2020-66212、CNVD-2020-66211）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAPNetweaver是一套面向服務的集成化應用平臺。SAP Fiori是一套為SAP應用程序提供用戶體驗（UX）的設計系統，它為設計人員和開發人員提供了一套工具和指南，能夠快速地開發適用于任何平臺的應用，為創建者和用戶提供一致、創新的體驗。SAP Solution Manager是一套集系統監控、SAP支持桌面、自助服務、ASAP實施等多個功能為一體的系統管理平臺。SAP 3D Visual Enterprise Viewer是一款適用于Windows的免費3D可視化查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：SAP NetWeaver AS ABAP信息泄露漏洞（CNVD-2020-65554）、SAP Fiori Launchpad服務器端請求偽造漏洞、SAP Solution Manager和SAPFocused Run操作系統命令注入漏洞、SAP 3D visual EnterpriseViewer輸入驗證錯誤漏洞（CNVD-2020-65565、CNVD-2020-65566、CNVD-2020-65564、CNVD-2020-65567、CNVD-2020-65568）。其中，“SAP Fiori Launchpad服務器端請求偽造漏洞、SAP Solution Manager和SAPFocused Run操作系統命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：Google Android遠程代碼執行漏洞（CNVD-2020-65248、CNVD-2020-65246、CNVD-2020-65249）、Google Android權限提升漏洞（CNVD-2020-65247、CNVD-2020-65250）、Google Android信息泄露漏洞（CNVD-2020-65245）、Google Android拒絕服務漏洞（CNVD-2020-65251、CNVD-2020-65252）。其中，“Google Android遠程代碼執行漏洞（CNVD-2020-65246、CNVD-2020-65249）、Google Android拒絕服務漏洞（CNVD-2020-65251、CNVD-2020-65252）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Paradox IP150緩沖區溢出漏洞

Paradox IP150是一個提供通過網絡來監控管理Paradox設備的通信模塊。上周，Paradox IP150被披露存在緩沖區溢出漏洞。遠程攻擊者可利用該漏洞提交特殊的請求，可以應用程序上下文執行任意代碼或使應用程序崩潰。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apple產品被披露存在多個漏洞，攻擊者可利用漏洞以內核權限執行任意代碼等。此外，Cisco、SAP、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞訪問后端數據庫并讀取、更改或刪除信息，提升權限，執行任意命令，導致拒絕服務等。另外，Paradox IP150被披露存在緩沖區溢出漏洞。遠程攻擊者可利用該漏洞提交特殊的請求，可以應用程序上下文執行任意代碼或使應用程序崩潰。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工業和信息化部、信安標委、新華網、21世紀經濟報道、每日經濟新聞、中國證券報·中證網、交通銀行微銀行報道

責任編輯：韓希宇