國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞214個，互聯網上出現“Online Bus TicketReservation SQL注入漏洞、BloodX SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部通報63款侵害用戶權益行為APP

此次檢測發現，APP未經用戶同意，私自收集設備MAC地址信息；將用戶個人信息發送給第三方SDK的問題較多。>>詳細

Only HTTPS，來了！

當前，大多數網站已支持HTTPS，但許多網站經常由于以下原因，仍存在使用不安全協議。>>詳細

民生x華為，這對CP甜度剛好

民生手機U寶與華為手機U寶是基于華為手機的安全能力構建的可信支付憑據。>>詳細

6項網絡安全國家標準獲批發布

根據2020年12月14日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2020年第28號），全國信息安全標準化技術委員會歸口的6項國家標準正式發布。>>詳細

微信支付聯合國家反詐中心全面升級反詐功能 騰訊守護者計劃用科技防范網絡黑產

面對日益嚴峻的網絡詐騙威脅，騰訊守護者計劃整合騰訊的黑灰產大數據優勢和AI能力，打造智能反詐中樞。>>詳細

【國家反詐中心提醒】牢記“三不一多”原則，守住咱家錢袋子

國家反詐中心民警對此總結出了防范小貼士，并提醒大家在日常生活中就要牢記“三不一多”原則（即：未知鏈接不點擊，陌生來電不輕信，個人信息不透露，轉賬匯款多核實），與警方一起守好錢袋子。>>詳細

安全課堂| 如何防盜刷？看這一篇就夠了

年末將至，正是消費高峰期，很多不法分子開始蠢蠢欲動，大家在年末一定要注意好用卡安全，保護好自己的財產。>>詳細

【知識】教你如何防范升級版詐騙套路！

在轉賬、匯款時，一定要提高警惕！不要輕信網絡匯款截圖，錢未到賬就催促你代為轉賬的一律為詐騙。>>詳細

安全威脅播報

上周漏洞基本情況

上周（12月14日-20日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞214個，其中高危漏洞80個、中危漏洞125個、低危漏洞9個。漏洞平均分值為5.92。上周收錄的漏洞中，涉及0day漏洞143個（占67%），其中互聯網上出現“Online Bus TicketReservation SQL注入漏洞、BloodX SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升本地權限獲取敏感信息，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android信息泄露漏洞（CNVD-2020-72490）、Google Android權限提升漏洞（CNVD-2020-72489、CNVD-2020-72491、CNVD-2020-72494）、Google Android MediaFramework信息泄露漏洞（CNVD-2020-72488）、Google Android拒絕服務漏洞（CNVD-2020-72493、CNVD-2020-72492）、Google Android System權限提升漏洞（CNVD-2020-72495）。其中，“Google Android拒絕服務漏洞（CNVD-2020-72493）、Google Android System權限提升漏洞（CNVD-2020-72495）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Outlook是美國微軟（Microsoft）公司的一套電子郵件應用程序。Microsoft ChakraCore和MicrosoftEdge都是美國微軟（Microsoft）公司的產品。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Codecs Library是其中的一個音頻、視頻文件編解碼器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統用戶的上下文中運行任意代碼，破壞內存，控制受影響的系統等。

CNVD收錄的相關漏洞包括：Microsoft Outlook遠程代碼執行漏洞（CNVD-2020-72694）、Microsoft ChakraCore和Edge遠程代碼執行漏洞（CNVD-2020-72698）、Microsoft Color Management遠程代碼執行漏洞、Microsoft ChakraCore遠程代碼執行漏洞（CNVD-2020-72699、CNVD-2020-72701、CNVD-2020-72700）、Microsoft Windows CodecsLibrary遠程代碼執行漏洞（CNVD-2020-72695、CNVD-2020-72696）。其中，“Microsoft Outlook遠程代碼執行漏洞（CNVD-2020-72694）、Microsoft ChakraCore和Edge遠程代碼執行漏洞（CNVD-2020-72698）、Microsoft Color Management遠程代碼執行漏洞、Microsoft ChakraCore遠程代碼執行漏洞（CNVD-2020-72699、CNVD-2020-72701、CNVD-2020-72700）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoIoT Field Network Director（IoT-FND）是美國思科（Cisco）公司的一套端到端的物聯網管理系統。Cisco RoomOS Software是美國思科（Cisco）公司的一套用于Cisco設備的自動管理軟件。該軟件主要用于升級、管理Cisco設備的主板固件。Cisco Security Manager（CSM）是美國思科（Cisco）公司的一套企業級的管理應用，它主要用于在Cisco網絡和安全設備上配置防火墻、VPN和入侵保護安全服務。Cisco IOS XE是美國Cisco公司為其網絡設備開發的一套基于Linux內核的模塊化操作系統。Cisco FXOS Software是美國思科（Cisco）公司的一套運行在思科安全設備中的防火墻軟件。Cisco IoT Field NetworkDirector (FND)是大規模FAN部署的網絡管理系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞查看受影響系統上的敏感信息，使用生成的令牌在設備上啟用用戶不應該使用的實驗特性，發送特制API請求利用該漏洞覆蓋受影響系統上的文件等。

CNVD收錄的相關漏洞包括：Cisco IoT Field NetworkDirector訪問控制錯誤漏洞（CNVD-2020-72728）、Cisco RoomOS Software權限許可和訪問控制問題漏洞、Cisco Security Manager輸入驗證錯誤漏洞（CNVD-2020-72726）、Cisco IOS XE拒絕服務漏洞（CNVD-2020-72733）、Cisco FXOS安全啟動繞過漏洞、Cisco IoT Field Network Director訪問控制錯誤漏洞、Cisco IoT Field Network Director文件覆蓋漏洞、Cisco IoT Field Network Director SQL注入漏洞。其中，“Cisco FXOS安全啟動繞過漏洞、Cisco IoT Field NetworkDirector SQL注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。NSS是美國Mozilla基金會的一個底層密碼學庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致內存破壞和程序崩潰，導致瀏覽器掛起，獲取Thunderbird的用戶名和密碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox內存破壞漏洞（CNVD-2020-72461、CNVD-2020-72462、CNVD-2020-72720）、Mozilla Firefox拒絕服務漏洞（CNVD-2020-72463）、Mozilla Firefox欺騙漏洞（CNVD-2020-72716）、Mozilla Thunderbird信息泄露漏洞（CNVD-2020-72718）、Mozilla NSS拒絕服務漏洞、Mozilla Firefox內存錯誤引用漏洞（CNVD-2020-72719），其中，“Mozilla Firefox內存破壞漏洞（CNVD-2020-72461、CNVD-2020-72462）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

OpenTSDB命令注入漏洞

OpenTSDB是一個基于Hbase的分布式、可擴展的時間序列數據庫(TSDB)。OpenTSDB2.4.0及更早版本存在命令執行漏洞。攻擊者可通過yrange參數注入命令利用該漏洞實現遠程代碼執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞提升本地權限獲取敏感信息，造成拒絕服務等。此外，Microsoft、Cisco、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在系統用戶的上下文中運行任意代碼，破壞內存，控制受影響的系統等。另外，OpenTSDB被披露存在命令注入漏洞。攻擊者可利用漏洞實現遠程代碼執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信微報、信安標委、民生銀行手機銀行、連贏管家、銀聯江西、公安部刑偵局報道

責任編輯：韓希宇