国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞215个，互联网上出现“Wordpress Ultimate Addons for Beaver Builder身份验证绕过漏洞、GPAC缓冲区溢出漏洞（CNVD-2020-00232）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

李伟：做好数据治理推动数字化转型

金融业要深刻认识数据资源的重要意义，切实做好金融数据治理工作，深挖数据价值、释放数据潜能，加快推进数字化转型，推动金融实现高质量发展。>>详细

中国支付清算协会2019调研：生物识别技术接受度趋于稳定

报告显示，在2019年闪付类产品使用比例较2018年明显上升，指纹和人脸识别技术已被大部分用户所接受。>>详细

云环境下企业如何保障数据安全

从2002年起，国内就出现了以防止敏感信息泄露为目的的防水墙系统，数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。>>详细

移动金融APP顺利备案 这些规范要遵守

由于之前没有针对移动金融APP的强制性技术标准和检测标准，使得移动金融APP产品犹如杂草般肆意生长，个人信息安全问题时有发生，直接威胁着人民群众的财产安全。>>详细

假冒借贷APP电信诈骗现高发态势 90后成被骗主体占比达45%

假冒借贷APP骗局是2019年高发的电信诈骗手段，诈骗团伙通过假冒知名借贷类APP，以短信、网页广告等形式广撒网，通过放贷前收取工本费、解冻费、保证金、担保金等费用名目诈骗用户钱财。>>详细

从金融安全战略视角强化非银行支付机构业务监管研究 （上）

非银行支付机构与银行的客户账户高度关联，其业务操作直接影响银行的资金流和客户资金安全。>>详细

开放与安全如何并重？首届“数据互联互通与安全发展”高峰论坛指路数据融合方法论

随着数字经济全球化的推进，互联网上的数据规模越来越大，数据价值不断提升，对于数据跨境的需求在客观上增长很快。>>详细

达摩院 2020 预测：量子霸权指日可待！

作为两个最关键的技术里程碑，容错量子计算和演示实用量子优势将是量子计算实用化的转折点。未来几年内，真正达到其中任何一个都将是十分艰巨的任务，量子计算将进入技术攻坚期。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年12月30日-2020年1月5日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞215个，其中高危漏洞85个、中危漏洞119个、低危漏洞11个。漏洞平均分值为6.34。上周收录的漏洞中，涉及0day漏洞108个（占50%），其中互联网上出现“Wordpress Ultimate Addons for Beaver Builder身份验证绕过漏洞、GPAC缓冲区溢出漏洞（CNVD-2020-00232）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Cisco产品安全漏洞

Cisco Data Center Network Manager (DCNM)是一套数据中心网络管理器，可对网络进行多协议管理，并对交换机的运行状况和性能提供故障排除功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息，执行未授权操作，注入任意命令等。

CNVD收录的相关漏洞包括：Cisco Data Center NetworkManager SOAP API路径遍历漏洞、Cisco Data Center NetworkManager REST API SQL注入漏洞、Cisco Data Center NetworkManager SOAP API SQL注入漏洞、Cisco Data Center NetworkManager REST API认证绕过漏洞、Cisco Data Center NetworkManager SOAP API认证绕过漏洞、Cisco Data Center NetworkManager REST API命令注入漏洞、Cisco Data Center NetworkManager SOAP API命令注入漏洞、Cisco Data Center NetworkManager REST API路径遍历漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成内存泄露，导致拒绝服务（系统资源耗尽），提升权限，修改配置并执行任意的系统命令。

CNVD收录的相关漏洞包括：F5 BIG-IP输入验证错误漏洞（CNVD-2020-00236、CNVD-2020-00238、CNVD-2020-00237、CNVD-2020-00244、CNVD-2020-00242）、F5 BIG-IP资源管理错误漏洞（CNVD-2020-00240）、F5 BIG-IP权限提升漏洞、F5 BIG-IP tmrouted内存泄露漏洞。其中，“F5 BIG-IP输入验证错误漏洞（CNVD-2020-00236）、F5 BIG-IP tmrouted内存泄露漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

AppleiOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，执行远程代码，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款Apple产品WebKit组件缓冲区溢出漏洞（CNVD-2020-00207、CNVD-2020-00204、CNVD-2020-00209、CNVD-2020-00210、CNVD-2020-00213）、Apple iOS、tvOS和watchOS Wi-Fi组件信息泄露漏洞、Apple iOS和Apple watchOS Mail组件输入验证错误漏洞、Apple iOS和Apple watchOS Mail Message Framework组件资源管理错误漏洞。其中，“Apple iOS和Apple watchOS Mail MessageFramework组件资源管理错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞伪造Omnibox内容，执行任意代码，造成堆损坏。

CNVD收录的相关漏洞包括：Google Chrome WebSockets资源管理错误漏洞、Google Chrome JavaScript缓冲区溢出漏洞、Google Chrome缓冲区溢出漏洞（CNVD-2020-00271）、Google Chrome JavaScript组件缓冲区溢出漏洞（CNVD-2020-00275、CNVD-2020-00479、CNVD-2020-00480）、Google TensorFlow缓冲区溢出漏洞、Google Chrome输入验证错误漏洞（CNVD-2020-00482）。其中，“Google TensorFlow缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SonicWall SMA100缓冲区溢出漏洞

SonicWall SMA100是一款安全访问网关设备。上周，SonicWall SMA100被披露存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Cisco产品被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息，执行未授权操作，注入任意命令等。此外，F5、Apple、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，执行远程代码，导致缓冲区溢出或堆溢出等。另外，SonicWall SMA100被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国金融杂志、中国信息安全、21世纪经济报道、证券日报、金卡生活、移动支付网、CSDN报道

责任编辑：韩希宇