国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞479个，互联网上出现“D-Link DIR-816输入验证错误漏洞、Kirona Solutions Dynamic Resource Scheduling信息泄露漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

市场监管总局 人民银行关于发布《金融科技产品认证目录（第一批）》《金融科技产品认证规则》的公告

市场监管总局、人民银行决定将支付技术产品认证扩展为金融科技产品认证，并确定了《金融科技产品认证目录（第一批）》，制定了《金融科技产品认证规则》。>>详细

中华人民共和国密码法（全文）

本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。>>详细

无纸化时代来临 金融机构线上业务如何实现合法合规

李达提出可利用第三方电子证据保全系统，将采集的电子数据固化为便于司法采信和应用的电子证据。>>详细

公安部整治网络犯罪利益链 大数据、支付结算环节被划重点

公安机关网安部门将围绕为网络犯罪提供帮助的主要环节、利益链条开展打击整治，特别是为网络犯罪提供作案工具、建设网站、大数据支撑、软件开发及广告推广、支付结算等各个关键环节。>>详细

这家汽车融资租赁公司开出的第一单有点特

用户身份的真实性和有效性、电子合同内容的真实性、完整性、机密性与法律有效性能得到有力保障，签约双方都不用担心合同可能遭篡改、伪造、抵赖的风险。>>详细

工信部：深化中国东盟网络安全合作 共同推动互联互通安全发展

随着新一代信息技术加快向实体经济各领域渗透融合，网络安全威胁和风险更加严峻复杂，对关键信息基础设施、网络数据和个人信息安全带来新的挑战。>>详细

超声波屏下指纹识别被破解 攻击成本仅千余元

在观众接触过一个玻璃水杯后，陈昱先是拿出手机拍摄观众留存在水杯上的指纹，随后在手机上调试之后“克隆”了一个全新的指纹。>>详细

澳大利亚：助力开放银行发展，《消费者数据权利法》即将全面实施

澳大利亚政府表示，颁布《消费者数据权利法》是为了赋予澳大利亚居民更多的数据管控权，允许其选择授信机构/平台自主选择分享数据。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年10月21日-27日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞479个，其中高危漏洞125个、中危漏洞324个、低危漏洞30个。漏洞平均分值为5.63。上周收录的漏洞中，涉及0day漏洞106个（占22%），其中互联网上出现“D-Link DIR-816输入验证错误漏洞、Kirona Solutions Dynamic Resource Scheduling信息泄露漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是一款Web浏览器。Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码或造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android信息泄露漏洞（CNVD-2019-36440）、Google Android MNH提权漏洞（CNVD-2019-36641）、Google Chrome audio资源管理错误漏洞、Google Chrome V8资源管理错误漏洞（CNVD-2019-36924）、Google Chrome IndexedDB资源管理错误漏洞、Google Chrome WebRTC资源管理错误漏洞、Google Android拒绝服务漏洞（CNVD-2019-37159、CNVD-2019-37160）。其中，除“Google Android信息泄露漏洞（CNVD-2019-36440）、Google Android拒绝服务漏洞（CNVD-2019-37159、CNVD-2019-37160）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoWireless LAN Controller（WLC）Software是一套用于配置和管理WLC（无线局域网控制器）的软件。Cisco IOS XE是为其网络设备开发的一套基于Linux内核的模块化操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Wireless LAN ControllerSoftware输入验证错误漏洞、Cisco IOS XE虚拟化管理器CLI命令注入漏洞、Cisco IOS XE UTD拒绝服务漏洞、Cisco IOS XE拒绝服务漏洞（CNVD-2019-36642）、Cisco IOS XE NAT SIP ALG拒绝服务漏洞、Cisco IOS XE FTP ALG拒绝服务漏洞、Cisco IOS XE CTS PAC配置拒绝服务漏洞、Cisco IOS XE任意代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

ApplemacOS Catalina是一套专为Mac计算机所开发的专用操作系统。Apple iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。Apple iCloud for Windows是一款基于Windows平台的云服务，它支持存储音乐、照片、App和联系人等。Apple Xcode是一套向开发人员提供的集成开发环境，它主要用于开发Mac OS X和iOS的应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Apple macOS Catalina IntelGraphics Driver组件内存破坏漏洞、Apple macOS Catalina AMD组件内存破坏漏洞、Apple macOS Catalina sips组件内存破坏漏洞、Apple iTunes和iCloudfor Windows内存破坏漏洞、Apple macOS Catalina内存破坏漏洞、Apple Xcode otool组件任意代码执行漏洞（CNVD-2019-37180）、Apple Xcode ld64组件任意代码执行漏洞（CNVD-2019-37184、CNVD-2019-37185）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码，从而可获得与当前用户相同的用户权限。

CNVD收录的相关漏洞包括：Microsoft Edge Chakra脚本引擎内存破坏漏洞（CNVD-2019-36634、CNVD-2019-36635、CNVD-2019-36637、CNVD-2019-36636、CNVD-2019-36876、CNVD-2019-36877、CNVD-2019-36878、CNVD-2019-36879）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

MATIO 'Mat_VarReadNextInfo4'函数缓冲区溢出漏洞

MATIO是一款用于读写二进制MATLAB MAT文件的开源C语言库。上周，MATIO被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码或造成拒绝服务。此外，Cisco、Apple、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令，导致拒绝服务等。另外，MATIO被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家市场监督管理总局、中国人大网、证券日报网、未央网、中新经纬、天极网报道

责任编辑：韩希宇