国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞419个，互联网上出现“D-Link DWL-2600认证远程命令注入漏洞、Windscribe权限提升漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

姓名、手机号、身份证号同时泄露会有什么后果？

信息时代，大数据在方便生活的同时也增加了信息泄露的几率，网络诈骗、电信诈骗等黑灰产业链早已不像从前那样“漫天撒网”。>>详细

密码法背景下的商用密码应用及挑战

密码法的实施，有利于进一步推动商用密码应用的法治化、科学化、规范化，对建立以商用密码从业单位为主体、商用密码市场为导向、产学研深度融合的密码技术创新体系有着重要促进作用。>>详细

疫情期间“不打烊”的云测试平台，为什么能帮助企业降本增效？

自疫情爆发以来，测试人员虽不能在现场办公，但可通过平台进行测试任务的创建、发起及自动化测试等操作，并能通过远程真机的方式为APP开发方提供机器的使用。>>详细

CNCERT发布《2019年我国互联网网络安全态势综述》报告

2019年态势报告立足于CNCERT网络安全宏观监测数据与工作实践，报告涉及2019年典型网络安全事件、网络安全新趋势及日常网络安全事件应急处置实践等内容。>>详细

【防范诈骗】学习安全知识，防范电信诈骗！

不法分子利用日益发展的通信技术和快捷支付技术，在非接触的状态下，设计花样繁多的骗局实施诈骗，当前电信网络诈骗案仍处于高发多发态势。>>详细

暗网盗卖金融信息 银行账户安全面临新挑战

我国开立银行账户113.52亿户，全国人均拥有银行账户数达8.09户。这些账户安全谁来守护？>>详细

安卓最新身份认证方式：根据“信任分数”解锁设备或登录应用程序

Project Abacus旨在删除密码和PIN身份验证，以支持生物识别。看起来，用户将根据“信任分数”解锁设备或登录应用程序。>>详细

苹果电邮应用惊现安全漏洞！或被黑客利用了八年

虽然有证据表明这些漏洞是在目标设备上执行的，但电子邮件本身并不存在危险。这表明袭击者删除这些电子邮件是为了掩盖他们的踪迹。>>详细

安全威胁播报

上周漏洞基本情况

上周（4月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞419个，其中高危漏洞204个、中危漏洞182个、低危漏洞33个。漏洞平均分值为6.81。上周收录的漏洞中，涉及0day漏洞190个（占45%），其中互联网上出现“D-Link DWL-2600认证远程命令注入漏洞、Windscribe权限提升漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apple产品安全漏洞

Apple macOS Catalina是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，或造成系统意外终止或读取内核内存。

CNVD收录的相关漏洞包括：Apple macOS CatalinaBluetooth组件内存破坏漏洞（CNVD-2020-22464、CNVD-2020-22469、CNVD-2020-23217）、Apple macOS Catalina Bluetooth组件缓冲区溢出漏洞（CNVD-2020-22473、CNVD-2020-23213、CNVD-2020-23212）、Apple macOS Catalina AppleHSSPI Support组件内存破坏漏洞、Apple macOS CatalinaAppleGraphicsControl组件内存破坏漏洞。其中，除“Apple macOS CatalinaBluetooth组件缓冲区溢出漏洞（CNVD-2020-22473、CNVD-2020-23213、CNVD-2020-23212）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行客户端代码，导致网站无法访问等。

CNVD收录的相关漏洞包括：WordPress Contact Form 7Datepicker跨站脚本漏洞、WordPress LifterLMS插件代码问题漏洞、WordPress 301 Redirects-Easy Redirect Manager数据伪造问题漏洞、WordPress all-in-one-seo-pack插件跨站脚本漏洞、WordPress ultimate-faqs插件输入验证错误漏洞、WordPress Media Library Assistant信息泄露漏洞、WordPress Responsive Poll授权问题漏洞、WordPress Snap Creek Duplicator和DuplicatorPro路径遍历漏洞。其中，除“WordPress Contact Form 7Datepicker跨站脚本漏洞、WordPressall-in-one-seo-pack插件跨站脚本漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMQRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：IBM QRadar SIEM信息泄露漏洞（CNVD-2020-23040、CNVD-2020-23041、CNVD-2020-23044）、IBM QRadar SIEM跨站脚本漏洞（CNVD-2020-23043）、IBM QRadar SIEM文件上传漏洞、IBM QRadar SIEM命令执行漏洞、IBM QRadar SIEM权限提升漏洞、IBM QRadar SIEM服务器端请求伪造漏洞（CNVD-2020-23049）。其中“IBM QRadar SIEM文件上传漏洞、IBM QRadar SIEM命令执行漏洞、IBM QRadar SIEM权限提升漏洞、IBM QRadar SIEM服务器端请求伪造漏洞（CNVD-2020-23049）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。DirectX是其中的一个多媒体系统链接库。Windows Hyper-V是其中的一个虚拟化产品，支持在Windows中创建虚拟机。Windows Jet Database Engine是其中的一个数据库引擎。Microsoft Office是一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，破坏内存。

CNVD收录的相关漏洞包括：Microsoft Windows DirectX提权漏洞、Microsoft Excel远程代码执行漏洞（CNVD-2020-23435）、Microsoft Windows Hyper-V远程代码执行漏洞（CNVD-2020-23433）、Microsoft Windows JetDatabase Engine远程代码执行漏洞（CNVD-2020-23432）、Microsoft Office远程执行代码漏洞（CNVD-2020-23440）、Microsoft Internet Explorer内存破坏漏洞（CNVD-2020-23445）、Microsoft InternetExplorer VBScript Engine远程执行代码漏洞、Microsoft Edge内存破坏漏洞（CNVD-2020-23446）。上述漏洞的综合评级为“高危”，目前，厂商已经发布了上述漏洞的修补程序。

Cisco Webex Meetings访问控制错误漏洞

Cisco Webex Meetings是美国思科（Cisco）公司的一套视频会议解决方案。上周，Cisco Webex Meetings被披露存在访问控制错误漏洞。该漏洞源于当会议室主持人查看共享的多媒体文件时不会弹出安全警告对话框。远程攻击者可借助主持人身份共享文件并诱使之前的主持人浏览该多媒体文件利用该漏洞绕过安全限制。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apple产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，或造成系统意外终止或读取内核内存。此外WordPress、IBM、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。另外，Cisco Webex Meetings被披露存在访问控制错误漏洞。攻击者可借助主持人身份共享文件并诱使之前的主持人浏览该多媒体文件利用该漏洞绕过安全限制。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家密码管理局、CNCERT、中国互联网协会、证券时报网、上行快线、网易科技、开源中国报道

责任编辑：韩希宇