国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞573个，互联网上出现“WordPress Core xmlrpc.php拒绝服务漏洞、TP-Link Archer VR300跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

网信办：关于做好个人信息保护利用大数据支撑联防联控工作的通知

收集或掌握个人信息的机构要对个人信息的安全保护负责，采取严格的管理和技术防护措施，防止被窃取、被泄露。>>详细

关于防范网络不法分子利用新型肺炎相关主题进行钓鱼邮件入侵的预警通报

钓鱼邮件附带恶意链接与包含恶意代码的office文档附件，利用仿冒页面实现对用户信息的收集，诱导用户执行恶意文档中的宏，向受害用户主机上植入木马程序，实现远程控制和信息窃取。>>详细

一波在线操作解燃眉之急 企业防疫办公两不误

哪些常见场景可以轻松应用“云办公”模式？效率有了，安全跟上来了吗？可不可靠？是否合法可信？>>详细

农业银行徐伟：信息系统安全可控探索与实践

本文总结了农业银行近年推进IT基础设施安全可控的建设思路，提出IT系统安全可控实践总体框架，并介绍了三种实践模式以及所取得成效。>>详细

银保监会：防范两种假借疫情发布虚假信息实施的诈骗

要注重保护个人金融信息和金融资产安全，注意银行卡使用安全，提高金融风险防范意识。>>详细

苹果加入FIDO联盟 帮助开发和推广身份验证新标准

有了Safari支持，YubiKey 5Ci是一个有用的工具，它比基于软件的双因素身份验证更方便，因为不需要输入安全代码，用户需将其插入iPhone或Mac进行身份验证。>>详细

我国量子通信再获新突破 相关公司望受关注

量子通信在传统算法的基础上进一步扩展，将融合和叠加更多的信息数据，借由量子之间的相干性，整体的传输、分析速率有超倍的提升。>>详细

网络诈骗横行英国金融业 知名对冲基金的网站被克隆

这些诈骗网站会复制知名对冲基金和资管公司的名字和网站，制作假网站，试图从毫无戒心的投资者中骗钱。>>详细

安全威胁播报

上周漏洞基本情况

上周（2020年2月3日-9日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞573个，其中高危漏洞211个、中危漏洞317个、低危漏洞45个。漏洞平均分值为6.30。上周收录的漏洞中，涉及0day漏洞178个（占31%），其中互联网上出现“WordPress Core xmlrpc.php拒绝服务漏洞、TP-Link Archer VR300跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apple产品安全漏洞

Apple macOS Catalina是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Apple iOS是一款苹果智能设备上的操作系统。Apple macOS Mojave是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Apple tvOS是一套智能电视操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行代码，提升权限。

CNVD收录的相关漏洞包括：Apple macOSAppleGraphicsControl组件内存破坏漏洞、Apple macOS CatalinaSystem Extensions组件权限提升漏洞、Apple macOS Catalina、tvOS和iOS libxml2组件存在内存破坏漏洞、Apple macOS Catalina的IntelGraphics Driver组件内存损坏漏洞、Apple macOS任意代码执行漏洞（CNVD-2020-03281）、Apple iOS AppleFirmwareUpdateKext任意代码执行漏洞、多款Apple产品WebKit组件内存破坏漏洞（CNVD-2020-03858）、多款Apple产品IOUSBDeviceFamily组件内存破坏漏洞。其中，“Apple iOS AppleFirmwareUpdateKext任意代码执行漏洞、Apple macOS Catalina的IntelGraphics Driver组件内存损坏漏洞、多款Apple产品WebKit组件内存破坏漏洞（CNVD-2020-03858）、多款Apple产品IOUSBDeviceFamily组件内存破坏漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftExcel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft .NET Framework是美国微软（Microsoft）公司的一种全面且一致的编程模型，也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，提升权限，控制受影响的系统。

CNVD收录的相关漏洞包括：Microsoft Excel远程代码执行漏洞（CNVD-2020-03534、CNVD-2020-03536）、Microsoft Office远程代码执行漏洞（CNVD-2020-03535）、Microsoft Excel代码执行漏洞、Microsoft Windows和Microsoft Windows Server提权漏洞（CNVD-2020-03545、CNVD-2020-03546、CNVD-2020-03548）、Microsoft .NET Framework远程代码执行漏洞（CNVD-2020-03547）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoIOS和IOS XE Software都是美国思科（Cisco）公司为其网络设备开发的操作系统。Cisco Webex Video MeshSoftware releases是一款网络视频会议解决方案。Cisco Hosted CollaborationMediation Fulfillment (HCM-F)是托管式协作解决方案(HCS)的一部分，是一个核心管理组件。Cisco SD-WAN Solution是一套网络扩展解决方案，vManage是其中的控制台。Cisco IOS XR软件是用于服务提供商网络的模块化和完全分布式的网络操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞修改配置和数据库表中的条目，执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco IOS和Cisco IOS XE Software跨站请求伪造漏洞、Cisco Webex Video Mesh Software命令注入漏洞 、Cisco Hosted Collaboration Mediation Fulfillment跨站请求伪造漏洞（CNVD-2020-03756）、Cisco IOS XR BGP属性拒绝服务漏洞、Cisco SD-WAN Solution SQL注入漏洞（CNVD-2020-04036、CNVD-2020-03759）、Cisco IOS XR BGP EVPN拒绝服务漏洞（CNVD-2020-04037）、Cisco IOS XR拒绝服务漏洞（CNVD-2020-04053）。其中，“Cisco IOS和Cisco IOS XE Software跨站请求伪造漏洞、Cisco Webex Video Mesh Software命令注入漏洞 、Cisco Hosted Collaboration Mediation Fulfillment跨站请求伪造漏洞（CNVD-2020-03756）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat和Reader都是美国奥多比（Adobe）公司的产品。前者是一套PDF文件编辑和转换工具，后者是一套PDF文档阅读软件。Illustrator CC是一款矢量图制作工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，获取敏感信息访问权限，导致拒绝服务。

CNVD收录的相关漏洞包括：Adobe Illustrator CC内存损坏漏洞（CNVD-2020-03924、CNVD-2020-03923）、Adobe Acrobat和Reader存在堆缓冲区溢出漏洞（CNVD-2020-04323）、Adobe Acrobat和Reader存在内存越界读取漏洞（CNVD-2020-04322、CNVD-2020-04324、CNVD-2020-04325、CNVD-2020-04328、CNVD-2020-04331）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache XML-RPC代码问题漏洞

Apache XML-RPC是美国阿帕奇（Apache）软件基金会的一款XML-RPC（远程过程调用协议）的Java实现。上周，Apache XML-RPC被披露存在代码问题漏洞。攻击者可利用该漏洞获取网址敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apple产品被披露存在多个漏洞，攻击者可利用漏洞执行代码，提升权限。此外，Microsoft、Cisco、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，提升权限，导致拒绝服务等。另外，Apache XML-RPC被披露存在代码问题漏洞。攻击者可利用该漏洞获取网址敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、银保监会、中国网信网、国家互联网应急中心CNCERT、金融电子化、证券时报网、新浪美股、cnBeta报道

责任编辑：韩希宇