国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞406个，互联网上出现“WordPressACF-Frontend-Display插件文件上传漏洞、Libntlm缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

安全便捷：支付“国家队”全新智能产品“刷脸付”闪耀发布

作为全新的智能金融产品，“刷脸付”在信息保护方面，人脸特征采集明确获得客户授权，严控数据使用范围，采用支付标记化、多方安全计算、分散存储等技术，严防信息泄漏、篡改与滥用。>>详细

刷脸支付到底安不安全，怎么才能安心刷？

支付的便捷性必须以安全为前提，注意保护用户个人隐私。>>详细

个人信息安全规范更新征求意见稿公布，八方面有改动

国家标准GB/T 35273《信息安全技术 个人信息安全规范》更新后的征求意见稿公布。>>详细

密码法二审稿加入“安全风险评估” 商用密码将迎来“黄金时代”

密码法草案一审稿将密码分为核心密码、普通密码和商用密码，并对密码进行分类管理。核心密码、普通密码属于国家秘密，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。>>详细

乌镇互联网大会开幕： 数字经济下构建网络安全空间

世界各国虽然国情不同，经济发展阶段不同，但对于互联网应用和安全的需求、对数字经济的发展需求却是一致的。>>详细

个人信息保护严监管时代来了！你准备好了吗？

针对金融行业个人信息保护监管要求日益加强，银行等金融机构应重点做好三个方面工作。>>详细

部署慢、不稳定、体验差！传统银企直连怎么破

2018年，宁夏银行与中国金融认证中心（CFCA）合作推出基于硬件加密的“易企连”解决方案，并于2019年上半年在宁夏水务投资集团银企业务中落地实施。>>详细

硬核！CFCA完成国内首个EAL5+项目检测！

近日，由中国金融认证中心（CFCA）信息安全实验室负责检测的一款安全芯片，成功获得了由中国网络安全审查技术与认证中心(CCRC)颁发的IT产品信息安全认证EAL5增强级（EAL5+）认证证书。>>详细

网络小爬虫莫堕落成为小扒手

爬虫技术本身并不是“害虫”，正像搜索引擎一样，作为一种计算机技术，具有技术中立性。>>详细

三星手机平板等存指纹漏洞 中行发通告暂时关闭功能

为保障用户登录安全，中国银行手机银行APP已暂时关闭该型号手机的指纹登录功能。其他品牌型号手机、平板指纹登录不受影响。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年10月14日-20日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞406个，其中高危漏洞100个、中危漏洞270个、低危漏洞36个。漏洞平均分值为5.60。上周收录的漏洞中，涉及0day漏洞84个（占21%），其中互联网上出现“WordPressACF-Frontend-Display插件文件上传漏洞、Libntlm缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Adobe产品安全漏洞

Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。上周，该产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Acrobat/Reader内存错误引用漏洞（CNVD-2019-35604、CNVD-2019-35605、CNVD-2019-35606、CNVD-2019-35607、CNVD-2019-35608、CNVD-2019-35610、CNVD-2019-35611、CNVD-2019-35609）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftInternet Explorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft SharePoint是一套企业业务协作平台。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Dynamics 365是一套适用于跨国企业的ERP业务解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，获取信息，造成内存损坏等。

CNVD收录的相关漏洞包括：Microsoft InternetExplorer远程代码执行漏洞（CNVD-2019-35567、CNVD-2019-35571）、Microsoft SharePoint跨站脚本漏洞（CNVD-2019-35572）、Microsoft InternetExplorer和Microsoft Edge欺骗漏洞、Microsoft Graphics组件信息泄露漏洞、Microsoft Dynamics 365跨站脚本漏洞（CNVD-2019-35573）、Microsoft Windows Hyper-V信息泄露漏洞（CNVD-2019-35574）、Microsoft InternetExplorer缓冲区溢出漏洞（CNVD-2019-35806）。其中，“Microsoft Internet Explorer远程代码执行漏洞（CNVD-2019-35567、CNVD-2019-35571）、Microsoft Internet Explorer缓冲区溢出漏洞（CNVD-2019-35806）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行非法SQLmingl，修改网络系统或组件的预期的执行控制流等。

CNVD收录的相关漏洞包括：WordPress LifterLMS插件提权漏洞、WordPress wp-editor插件权限许可和访问控制问题漏洞、WordPress new-contact-form-widget插件SQL注入漏洞、WordPress wti-like-post插件SQL注入漏洞、WordPress liveforms插件跨站脚本漏洞、WordPress events-manager插件代码注入漏洞、WordPress liveforms插件SQL注入漏洞、WordPressbroken-link-manager插件SQL注入漏洞。其中，除“WordPress liveforms插件跨站脚本漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

cPanel产品安全漏洞

cPanel是美国cPanel公司的一套基于Web的自动化主机托管平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取私人邮件，执行任意代码，进行任意文件名和文件chmod操作等。

CNVD收录的相关漏洞包括：cPanel输入验证错误漏洞（CNVD-2019-36129、CNVD-2019-36128、CNVD-2019-36133、CNVD-2019-36132、CNVD-2019-36131、CNVD-2019-36136）、cPanel授权问题漏洞（CNVD-2019-36140）、cPanel代码问题漏洞。其中，“cPanel输入验证错误漏洞（CNVD-2019-36136）、cPanel授权问题漏洞（CNVD-2019-36140）、cPanel代码问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit PhantomPDF Dwg2Pdf DXF文件解析内存破坏远程代码执行漏洞

Foxit PhantomPDF是中国福昕（Foxit）公司的一款PDF文档阅读器。上周，Foxit PhantomPDF被披露存在远程代码执行漏洞。攻击者可利用漏洞在当前进程的上下文中执行代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。此外，Microsoft、WordPress、cPanel等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取信息，提升权限，执行任意代码，造成内存损坏等。另外，Foxit PhantomPDF被披露存在远程代码执行漏洞。攻击者可利用漏洞在当前进程的上下文中执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、第一财经、证券时报、每日经济新闻、中新经纬报道

责任编辑：韩希宇