国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞533个，互联网上出现“Amovision AM-Q6320-WIFI HD Camera远程配置泄露漏洞、Quick N Easy Web Server拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国银联正式推出移动安全支付产品——手机盾

手机盾是中国银联基于可信服务管理平台（TSM），通过手机厂商硬件级的信息安全存储能力，为用户提供的在线申请、管理的支持大额交易的移动端U盾。>>详细

网络安全审查办法

网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。>>详细

《网络安全审查办法》答记者问

我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害。>>详细

业务线上化和非现场办公给金融企业带来的安全挑战和应对

突如其来的全球疫情加速了金融业务线上化和远程办公以及对应的视频会议的应用发展，也由此带来身份认证、数据安全、业务合规等诸多安全挑战。>>详细

这项黑科技有点酷 四招为您账户安全上锁

还在担心借记卡的账户安全吗？不用再担忧，交行新版手机银行送您四把锁，助您锁住钱袋子。>>详细

一文讲透零信任模型

零信任模型认为网络的位置不足以作为安全与否的信任条件，零信任模型希望引导网络体系架构从以网络架构为中心转向以身份认证为中心。>>详细

银保监会就保险实名登记再次征求意见 涵盖信息采集、存储期限等多方面内容

保险公司、保险中介机构应当加强信息安全管理，制定关于信息采集、存储、使用的管理制度和操作规程，规范信息使用权限。>>详细

安全威胁播报

上周漏洞基本情况

上周（4月20日-26日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞533个，其中高危漏洞253个、中危漏洞217个、低危漏洞63个。漏洞平均分值为6.31。上周收录的漏洞中，涉及0day漏洞297个（占56%），其中互联网上出现“Amovision AM-Q6320-WIFI HD Camera远程配置泄露漏洞、Quick N Easy Web Server拒绝服务漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Oracle产品安全漏洞

Oracle MySQL是一套开源的关系数据库管理系统。Oracle Retail Applications是一套零售应用商店解决方案。Oracle E-Business Suite（电子商务套件）是一套全面集成式的全球业务管理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的可用性、保密性和完整性。

CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2020-23461、CNVD-2020-23460、CNVD-2020-23465）、Oracle访问控制错误漏洞、Oracle E-Business Suite Email Center未授权操作漏洞（CNVD-2020-23751）、Oracle E-Business Suite Marketing Encyclopedia System未授权操作漏洞、Oracle E-Business Suite General Ledger未授权访问漏洞、Oracle E-Business Suite Email Center未授权操作漏洞。除“Oracle MySQL Server拒绝服务漏洞（CNVD-2020-23461、CNVD-2020-23460）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftSharePoint是一套企业业务协作平台。Microsoft Office是的一款办公软件套件产品。Microsoft Word是一套Office套件中的文字处理软件。Microsoft AutoUpdate forMac是一款适用于Mac的自动升级组件。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Update Client是其中的一个Windows系统更新客户端。Microsoft Excel是一款Office套件中的电子表格处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：icrosoft SharePoint远程代码执行漏洞（CNVD-2020-24060、CNVD-2020-24062）、Microsoft Office Access Connectivity Engine远程代码执行漏洞（CNVD-2020-24065）、Microsoft Word远程代码执行漏洞（CNVD-2020-24069）、Microsoft AutoUpdate for Mac提权漏洞、Microsoft Windows Update Client提权漏洞、Microsoft Windows Graphics Components远程代码执行漏洞、Microsoft Excel远程代码执行漏洞（CNVD-2020-24131）。其中，除“Microsoft SharePoint远程代码执行漏洞（CNVD-2020-24060、CNVD-2020-24062）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

FoxitReader和Foxit PhantomPDF都是中国福昕（Foxit）公司的一款PDF文档阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前进程的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Foxit Reader和PhantomPDF类型混淆远程代码执行漏洞（CNVD-2020-24443、CNVD-2020-24446、CNVD-2020-24445、CNVD-2020-24444）、Foxit Reader和PhantomPDF任意文件写入漏洞、Foxit Reader和PhantomPDF communication API任意文件写入漏洞、Foxit Reader和PhantomPDF资源管理错误漏洞（CNVD-2020-24461、CNVD-2020-24465）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Closure Library是一款跨浏览器的、模块化的JavaScript库。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，获取非法授权，执行代码。

CNVD收录的相关漏洞包括：Google Closure Library输入验证错误漏洞、Google Android System越界写入漏洞（CNVD-2020-24773、CNVD-2020-24776、CNVD-2020-24775、CNVD-2020-24774）、Google Android FPC Iris TZ App越界写入漏洞、Google Android FPC Iris TZ App越界读取漏洞、Google Android Media framework越界写入漏洞。其中，除“Google Android FPC Iris TZ App越界写入漏洞、Google Android FPC Iris TZ App越界读取漏洞、Google Android Media framework越界写入漏洞”外，其余漏洞的综合评级为“高危”，目前，厂商已经发布了上述漏洞的修补程序。

ABB Telephone Gateway TG/S和Busch-Jaeger Telefon-Gateway权限许可和访问控制问题漏洞。

ABB Telephone Gateway TG/S和Busch-Jaeger6186/11 Telefon-Gateway都是瑞士ABB公司的一款电话网关产品。上周，ABB Telephone Gateway TG/S 3.2版本和Busch-Jaeger 6186/11 Telefon-Gateway被披露存在权限许可证和访问控制漏洞。该漏洞源于访问控制不当。攻击者可利用该漏洞访问受限数据。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Oracle产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的可用性、保密性和完整性。此外Microsoft、Foxit、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，获取非法授权，执行代码。另外，ABB Telephone Gateway TG/S和Busch-Jaeger Telefon-Gateway被披露存在权限许可和访问控制问题漏洞。攻击者可利用该漏洞访问受限数据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、每日经济新闻、中国银联、交通银行、金科创新社、网安前哨报道

责任编辑：韩希宇