国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞715个，互联网上出现“PHP-Fusion 'Edit Profile'任意文件上传漏洞、Internet Download Manager堆栈缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

北京金融科技产业联盟发布《移动终端安全金融盾规范》

随着移动终端安全金融盾项目的大范围推广，市场需求逐渐发生变化，金融机构对金融盾服务系统建设的复杂性、金融盾终端普及度提出了更高的要求。>>详细

CFCA加入数字化转型伙伴行动 破解中小微企业“三不转”难题

中国金融认证中心（CFCA）作为中国银联子公司，也是首批数字化转型伙伴的一员，将植根“信息安全综合服务提供商”的业务优势，从数据安全、在线签约与后续维权等多维度，全力帮扶中小微企业高效推进数字化转型。>>详细

央行通知开展专项摸排 金融科技应用如何确保合规

45号文的发布，一方面对前期各金融机构在金融科技应用方面所做的风险合规工作进行阶段性验收，另一方面也是为后续的金融科技监管方向提供实际的数据支撑。>>详细

加强商用密码在金融行业应用 保障金融安全

密码不仅可以实现对信息的加密保护、完整性保护，还可以实现对实体身份和信息来源的安全认证。>>详细

一图读懂《网络安全审查办法》

关键信息基础设施运营者采购网络产品的服务，影响或可能影响国家安全的，应当按照《办法》进行网络安全审查。>>详细

手机操作系统强化隐私设置对今后App个人信息保护带来哪些改变？

随着治理工作持续推进，相关管理要求、技术规范日益完善，有效指导了App运营者普遍更新了隐私政策、优化了授权方式、设置了注销渠道，提升了个人信息保护措施。>>详细

市场监管总局 国家密码管理局关于发布 《商用密码产品认证目录（第一批）》 《商用密码产品认证规则》的公告

现对《商用密码产品认证目录（第一批）》《商用密码产品认证规则》予以发布，自发布之日起实施。>>详细

【基础回顾】对称、非对称加密算法以及PKI的相关知识

法定数字货币赖以运行的一大技术支柱就是密码算法，其既要通过密码学算法保证数字货币用户安全，又要通过技术手段建立可控匿名机制，实现一定条件下的可追溯，以进一步增强法定数字货币安全性。>>详细

【安全知识】常见电信诈骗盘点之“虚假贷款篇”

随着近年来网络贷款平台日益增多，一些诈骗分子也使出了新花招，打着低门槛、高额度的幌子意图浑水摸鱼、实施诈骗。>>详细

安全威胁播报

上周漏洞基本情况

上周（5月4日-10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞715个，其中高危漏洞331个、中危漏洞316个、低危漏洞68个。漏洞平均分值为6.39。上周收录的漏洞中，涉及0day漏洞512个（占72%），其中互联网上出现“PHP-Fusion 'Edit Profile'任意文件上传漏洞、Internet Download Manager堆栈缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞升权限。

CNVD收录的相关漏洞包括：Google Android System权限提升漏洞（CNVD-2020-27126、CNVD-2020-27124、CNVD-2020-27128、CNVD-2020-27127）、Google Android Framework权限提升漏洞（CNVD-2020-27135、CNVD-2020-27134、CNVD-2020-27136）、Google Android Mediaframework权限提升漏洞（CNVD-2020-27133）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

HuaweiHonor V10是一款智能手机产品。Huawei Lion-AL00C是一款智能手机。Huawei ODS是一款基于对象的存储设备。Huawei PCManager是一套电脑管理软件。Huawei AR3200是一款企业级路由器。Huawei Taurus-AL00B是一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取设备部分权限，造成信息泄露，导致设备异常（拒绝服务）。

CNVD收录的相关漏洞包括：Huawei Honor V10越界读漏洞（CNVD-2020-27112、CNVD-2020-27116、CNVD-2020-27114）、Huawei Lion-AL00C输入验证错误漏洞、Huawei OSD权限提升漏洞、Huawei PCManager权限提升漏洞（CNVD-2020-27120）、Huawei AR3200授权问题漏洞、Huawei Taurus-AL00B信息泄露漏洞。其中，“Huawei AR3200授权问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoFirepower Threat Defense（FTD）是一套提供下一代防火墙服务的统一软件。Cisco Hosted Collaboration Mediation Fulfillment（HCM-F）是一款托管协作解决方案（HCS）的核心管理组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感数据，将用户重定向到特定的恶意网页，以root用户访问权限运行任何系统命令等。

CNVD收录的相关漏洞包括：Cisco Firepower ThreatDefense数据伪造问题漏洞、Cisco Firepower ThreatDefense访问控制错误漏洞（CNVD-2020-27106、CNVD-2020-27107）、Cisco Firepower ManagementCenter输入验证错误漏洞（CNVD-2020-27105）、Cisco Firepower Management Center信任管理问题漏洞、Cisco Firepower Management Center输入验证错误漏洞（CNVD-2020-27103）、Cisco Firepower ManagementCenter跨站脚本漏洞（CNVD-2020-27108）、Cisco Hosted Collaboration Mediation Fulfillment代码问题漏洞。其中，“Cisco Firepower Management Center信任管理问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，提升权限，执行客户端代码等。

CNVD收录的相关漏洞包括：WordPress访问限制绕过漏洞（CNVD-2020-27079）、WordPress跨站脚本漏洞（CNVD-2020-27078、CNVD-2020-27082、CNVD-2020-27081）、WordPress Advanced Woo Search信息泄露漏洞、WordPress mappress-google-maps-for-wordpress代码问题漏洞、WordPress权限提升漏洞（CNVD-2020-27089）、WordPress data-tables-generator-by-supsystic跨站请求伪造漏洞。其中，除“WordPress跨站脚本漏洞（CNVD-2020-27078、CNVD-2020-27082、CNVD-2020-27081）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ABBS Software Audio Media Player缓冲区溢出漏洞

ABBS Software Audio Media Player是一款音频播放器。上周，ABBS Software Audio Media Player被披露存在缓冲区溢出漏洞。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作，攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。此外Huawei、Cisco、WordPress等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，提升权限，执行客户端代码，导致设备异常（拒绝服务）等。另外，ABBS Software Audio Media Player被披露存在缓冲区溢出漏洞攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家密码管理局、北京金融科技产业联盟、网信中国、中国信通院CAICT、App个人信息举报、工银融e行、移动支付网报道

责任编辑：韩希宇