国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞336个，互联网上出现“Zyxel NBG-418N v2 Modem跨站请求伪造漏洞、Joomla!组件prayercenter 'id' SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

首批拟备案移动金融APP名单公示 CFCA检测过半

中国金融认证中心（CFCA）作为“金融科技产品认证”检测指定的检测机构之一，全力推动移动金融APP合规备案，首批拟备案的37家共73款APP中，CFCA检测了19家共37款。>>详细

央行划重点！一图梳理电信网络诈骗中的那些“套路”

现今电信网络诈骗猖獗，危害突出，内容形式紧跟社会热点，针对不同群体，量身定做，可谓诈骗套路层出不穷，手段花样翻新不断，现给您整理一套常见防骗攻略。>>详细

践行“支付为民” 守护人民“钱袋子” ——人民银行打击电信网络诈骗、跨境赌博出实招

建设运行并持续完善电信网络新型违法犯罪交易风险事件管理平台，接入4249家银行和120家支付机构，大幅提升公安机关资金查控和止付效率，为人民群众挽回大量经济损失。>>详细

《中华人民共和国密码法》出台了 你了解吗？

中国金融认证中心（CFCA）作为国家重要的金融信息安全基础设施携手北京市商用密码协会，积极响应国家法规要求，着力于全方位信息安全体系构建，保障信息共享时代密码安全。>>详细

金融支付产品安全吗？信息安全认证来解！

银联卡支付应用软件安全检测，是对于接入银联网络的储存、处理、传输持卡人敏感信息和授权结算数据的支付应用软件产品进行检测认证。>>详细

全国政协委员、人民银行杭州中心支行行长殷兴山：建议加快个人信息保护立法

殷兴山建议：加快立法进程，通过专门立法，统一对公私领域的个人信息保护，明确运营主体收集、使用个人信息的原则、程序和保密、保护义务，不当使用、保护不力的法律责任以及监管部门的监督手段和处罚措施等。>>详细

姣姣说消保丨谁来保护我们的个人信息安全？

交行以维护消费者权益为出发点和落脚点，严格按照国家法律法规、监管规定和银行内部管控制度要求，切实做好客户信息保护工作，坚决杜绝泄露客户个人信息的行为。>>详细

保护个人隐私的小技巧

信息安全保护意识的培养是最重要的，应尽量避免在微信、微博等社交软件上透露个人信息，并定期借助安全软件和权限管理来杀毒并保护个人信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（5月11日-17日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞336个，其中高危漏洞115个、中危漏洞199个、低危漏洞22个。漏洞平均分值为6.16。上周收录的漏洞中，涉及0day漏洞154个（占46%），其中互联网上出现“Zyxel NBG-418N v2 Modem跨站请求伪造漏洞、Joomla!组件prayercenter 'id' SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Actions Http-Client是一款轻量级的HTTP客户端。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Word是一套Office套件中的文字处理软件。Microsoft Outlook是一套电子邮件应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，损坏内存等。

CNVD收录的相关漏洞包括：Microsoft ActionsHttp-Client信息泄露漏洞、Microsoft ChakraCore和Edge远程代码执行漏洞（CNVD-2020-28238）、Microsoft Win32k权限提升漏洞（CNVD-2020-28432）、Microsoft Windows ActiveX Installer Service权限提升漏洞、Microsoft Windows Network Driver Interface Specification信息泄露漏洞（CNVD-2020-28440）、Microsoft Windows WorkFolder服务权限提升漏洞、Microsoft Windows SearchIndexer权限提升漏洞、Microsoft Word和Microsoft Outlook缓冲区溢出漏洞。其中，除“Microsoft Windows WorkFolder服务权限提升漏洞、Microsoft Windows SearchIndexer权限提升漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoAdaptive Security Appliances Software（ASASoftware）是一套防火墙和网络安全平台。Cisco Firepower ThreatDefense（FTD）是一套提供下一代防火墙服务的统一软件。Cisco Aironet SeriesAccess Points Software是一套使用在Aironet无线接入点设备中的软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，覆盖任意文件，并修改受影响设备的底层操作系统，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Adaptive SecurityAppliances Software授权问题漏洞、Cisco Firepower ThreatDefense资源管理错误漏洞（CNVD-2020-27772、CNVD-2020-27775、CNVD-2020-27774、CNVD-2020-27773）、Cisco Firepower Device ManagerOn-Box输入验证错误漏洞、Cisco Firepower ThreatDefense资源管理错误漏洞（CNVD-2020-27776）、Cisco Aironet Series Access Points Software资源管理错误漏洞。其中，除“Cisco Firepower Threat Defense资源管理错误漏洞（CNVD-2020-27774）、Cisco Firepower Threat Defense访问控制错误漏洞（CNVD-2020-27773）、Cisco Aironet SeriesAccess Points Software资源管理错误漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMData Risk Manager是一款数据风险管理器。IBM WebSphere ApplicationServer Liberty是一款构建于Open Liberty项目之上的Java应用程序服务器。IBM UrbanCode Deploy（UCD）是一套应用自动化部署工具。IBM Cloud App Management是一套基于微服务架构的基础架构监控解决方案。IBM MQ是一款消息传递中间件产品。IBM MQ Appliance是一款用于快速部署企业级消息中间件的一体机设备。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意命令，造成拒绝服务（内存泄露）等。

CNVD收录的相关漏洞包括：IBM Data Risk Manager路径遍历漏洞、IBM Data Risk Manager代码执行漏洞、IBM Data Risk Manager操作系统命令注入漏洞、IBM Data Risk Manager授权问题漏洞、IBM WebSphere Application Server Liberty授权问题漏洞、IBM UrbanCode Deploy权限提升漏洞（CNVD-2020-27949）、IBM MQ Appliance拒绝服务漏洞（CNVD-2020-27948）、IBM Cloud App Management信息泄露漏洞。其中，“IBM Data Risk Manager代码执行漏洞、IBM Data Risk Manager操作系统命令注入漏洞、IBM Data Risk Manager授权问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR WAC505是一款无线接入点（AP）。NETGEAR D6100是一款无线调制解调器。NETGEAR WNDR3700是一款无线路由器。NETGEAR R6100是一款无线路由器。NETGEAR R9000是一款无线路由器。NETGEAR R7800是一款无线路由器。NETGEAR D7800是一款无线调制解调器。NETGEAR EX2700是一款无线网络信号扩展器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品缓冲区溢出漏洞（CNVD-2020-28140、CNVD-2020-28235、CNVD-2020-28242、CNVD-2020-28241、CNVD-2020-28244、CNVD-2020-28243、CNVD-2020-28247、CNVD-2020-28246）。其中，“多款NETGEAR产品缓冲区溢出漏洞（CNVD-2020-28140、CNVD-2020-28235）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Accusoft ImageGear缓冲区溢出漏洞（CNVD-2020-27757）

Accusoft ImageGear是一款用于图像处理的软件开发工具包（SDK）。上周，Accusoft ImageGear被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞借助特制的PNG文件执行代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在权限提升漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，损坏内存等。此外Cisco、IBM、NETGEAR等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，提升权限，执行任意命令，造成拒绝服务（内存泄露），导致缓冲区溢出或堆溢出等。另外，Accusoft ImageGear被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞借助特制的PNG文件执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、每日经济新闻、交通银行、微青银报道

责任编辑：韩希宇