国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞295个，互联网上出现“Mozilla Firefox拒绝服务漏洞（CNVD-2020-01142）、Microsoft Exchange ServerDNS漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

侵害用户隐私安全问题频发 违规App治理难如何破局？

国内关于App侵害用户权益的整改开始于去年。随后，工信部发布了《App违法违规收集使用个人信息行为认定方法》的通知，重点审查八类问题。>>详细

一图读懂 | 2019年工信部防范治理电信网络诈骗工作情况

2019年全国共拦截诈骗呼叫10.8亿次，关停重点地区诈骗号码88.8万个。>>详细

焕新升级|带您解锁手机银行App5.0之智能风控——为爱护航

重庆农商行手机银行app5.0“账户安全锁”功能已全面上线，五重安全防护，全方位保障您的账户安全。>>详细

民生银行构建手机银行多重保障体系 为客户信息安全保驾护航

针对大额资金交易，用户可通过签约蓝牙U宝和动态令牌安全工具进行身份校验，满足客户大额资金交易需求的同时，确保客户资金安全。>>详细

腾讯理财通发布2019《互联网理财行为与安全研究报告》

有42.93%的投资者认为在互联网理财过程中没有遇到过任何风险，大部分投资者也表示没有受过损失或损失相对较小，这主要基于大部分投资者均选择了相对优质的理财平台。>>详细

想快速get等保2.0 看这篇没错了

等保2.0并不是一个标准，而是一系列的标准与法律法规共同构成的安全体系。>>详细

苹果iPhone现在可作为Google的物理安全密钥

Smart Lock应用程序的新功能意味着iPhone现在可以与谷歌的高级保护程序一起使用，该程序是谷歌对网络钓鱼或其他攻击的最强保护。>>详细

埃森哲收购赛门铁克网络安全服务业务

埃森哲将接过赛门铁克的网络安全服务产品组合，该产品组合包括全球威胁监控和分析、威胁情报以及事件响应服务，而全球威胁监控和分析是通过安全运营中心网络来进行的。>>详细

安全威胁播报

上周漏洞基本情况

上周（2020年1月6日-12日）信息安全漏洞威胁整体评价级别为中。 国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞295个，其中高危漏洞133个、中危漏洞151个、低危漏洞11个。漏洞平均分值为6.29。上周收录的漏洞中，涉及0day漏洞190个（占64%），其中互联网上出现“Mozilla Firefox拒绝服务漏洞（CNVD-2020-01142）、Microsoft Exchange ServerDNS漏洞”等零日代码攻击漏洞。

Mozilla产品安全漏洞

Mozilla Network Security Services（NSS）是美国Mozilla基金会的一个函数库（网络安全服务库）。该产品可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，获取敏感信息，导致缓冲区溢出等。

CNVD收录的相关漏洞包括：Mozilla Network SecurityServices缓冲区溢出漏洞（CNVD-2020-01173）、Mozilla Firefox信息泄露漏洞（CNVD-2020-01174）、Mozilla Firefox和Mozilla Firefox ESR跨站脚本漏洞（CNVD-2020-01175）、Mozilla Firefox和Mozilla Firefox ESR代码注入漏洞、Mozilla Firefox和Mozilla Firefox ESR缓冲区溢出漏洞（CNVD-2020-01177）、Mozilla Firefox和Firefox ESR内存错误引用漏洞（CNVD-2020-01179）、Mozilla Firefox和Firefox ESR栈缓冲区溢出漏洞（CNVD-2020-01180）、Mozilla Firefox缓冲区溢出漏洞（CNVD-2020-01182）。其中，除“Mozilla Firefox信息泄露漏洞（CNVD-2020-01174）、Mozilla Firefox和Mozilla Firefox ESR跨站脚本漏洞（CNVD-2020-01175）”外的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

GoogleChrome是美国谷歌（Google）公司的一款Web浏览器。Swiftshader是其中的一个开源3D渲染工具。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Framework是其中的一个Android框架组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，导致拒绝服务，堆损坏。

CNVD收录的相关漏洞包括：Google Android Framework拒绝服务漏洞（CNVD-2020-00994）、Google Chrome资源管理错误漏洞（CNVD-2020-00997、CNVD-2020-00998）、Google Chrome Swiftshader越界访问漏洞（CNVD-2020-00996、CNVD-2020-01000、CNVD-2020-00999）、Google Android Framework权限提升漏洞（CNVD-2020-01294、CNVD-2020-01293）。其中，“Google Android Framework权限提升漏洞（CNVD-2020-01294、CNVD-2020-01293）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

AppleiOS等都是美国苹果（Apple）公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple watchOS是一套智能手表操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，加载未签名的内核扩展，导致缓冲区溢出等。

CNVD收录的相关漏洞包括：多款Apple产品WebKit组件内存破坏漏洞、Apple macOS MojaveApplication Firewall组件输入验证错误漏洞、多款Apple产品Kernel组件类型混淆漏洞、多款Apple产品AppleFileConduit组件内存破坏漏洞、多款Apple产品WebKit组件内存破坏漏洞（CNVD-2020-00537）、Apple macOS Mojave Accessibility Framework组件缓冲区溢出漏洞、Apple macOS Mojave IOKit组件验证问题漏洞、多款Apple产品WebKit组件内存破坏漏洞（CNVD-2020-00541）。其中，“Apple macOS Mojave Application Firewall组件输入验证错误漏洞、多款Apple产品Kernel组件类型混淆漏洞、多款Apple产品AppleFileConduit组件内存破坏漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。Adobe Illustrator是一套基于向量的图像制作软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，获取敏感信息。

CNVD收录的相关漏洞包括：Adobe Acrobat和Reader越界读取漏洞（CNVD-2020-01260、CNVD-2020-01261、CNVD-2020-01262、CNVD-2020-01266、CNVD-2020-01265、CNVD-2020-01267）、Adobe Acrobat和Reader权限提升漏洞、Adobe Illustrator缓冲区溢出漏洞（CNVD-2020-01264）。其中，“Adobe Illustrator缓冲区溢出漏洞（CNVD-2020-01264）、Adobe Acrobat和Reader权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress Laborator Neon theme跨站脚本漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台，Laborator Neon theme是使用在其中的一个网站后台管理主题插件。上周，WordPress Laborator Neon theme被披露存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Mozilla产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，获取敏感信息，导致缓冲区溢出等。此外，Google、Apple、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务等。另外，WordPress Laborator Neon theme被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部网站、第一财经日报、移动支付网、cnBeta、安全圈、重庆农村商业银行、简单的银行报道

责任编辑：韩希宇