国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞465个，互联网上出现“SolarWinds Orion Platform信息泄露漏洞、Zoom Call Recording跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

姣姣说消保之守护消费安全丨掌握金融知识，守住自己的“钱袋子”

普及金融知识，优化金融服务，助力疫情防控，银行人在行动！>>详细

赚钱不易，诈骗必防，且行且小心

欺诈套路五花八门，小茄子提醒大家，赚钱不易，诈骗必防，且行且小心。>>详细

【消保微课堂】个人信息勿泄露，安全意识存心头

个人金融信息是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。>>详细

谁泄露了我的个人信息？| 汇课堂

从金融保险、教育、医疗、科技到政府，数据泄露涉及许多行业。受影响用户不断扩大，少则数千万，多达数亿乃至十几亿。>>详细

普及金融知识,守住“钱袋子”|支付安全篇

维护安全的金融秩序，需要我们提高安全用卡意识，培养良好的支付习惯，远离欺诈风险，保护资金安全，了解支付安全知识，一起划重点！>>详细

守住钱袋子 | 宝爸宝妈需警惕，别让孩子成为新的骗局钓饵！

小心！一些心怀不轨的网络诈骗黑手正在伸向你！宝爸宝妈们，维护我们的合法权益不受侵害，快识别套路，守护我们的家。>>详细

小心！别泄露了你的个人信息！

泄露隐私的途径一定有你忽略的，信息泄露防不胜防，致狮驼岭抓捕唐僧失败。>>详细

守住钱袋子 | 担心线上交易安全？掌银交易安全锁为您保驾护航

今天，卡卡将带您一起，巧用掌银App的“交易安全锁”功能，加强账户安全管理，防范支付类交易风险。>>详细

安全威胁播报

上周漏洞基本情况

上周（6月1日-7日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞465个，其中高危漏洞150个、中危漏洞255个、低危漏洞60个。漏洞平均分值为5.72。上周收录的漏洞中，涉及0day漏洞190个（占41%），其中互联网上出现“SolarWinds Orion Platform信息泄露漏洞、Zoom Call Recording跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Window是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，损坏内存。

CNVD收录的相关漏洞包括：Microsoft VBScript引擎远程命令执行漏洞、Microsoft Windows远程命令执行漏洞、Microsoft Windows Jet Database Engine缓冲区溢出漏洞、Microsoft Windows DirectX权限提升漏洞（CNVD-2020-31542）、Microsoft Windows Hyper-V权限提升漏洞（CNVD-2020-31546）、Microsoft Windows Kernel权限提升漏洞（CNVD-2020-31545）、Microsoft WindowsUser-Mode Power Service权限提升漏洞、Microsoft InternetExplorer VBScript Engine缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

DellEMC Isilon OneFS是一套适用于非结构化数据的横向扩展存储系统。Dell EMC RSA Archer是一款企业IT治理和合规治理产品。Dell OS recovery是一款系统恢复软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，执行任意命令等。

CNVD收录的相关漏洞包括：Dell EMC Isilon OneFS安全特征问题漏洞（CNVD-2020-31248、CNVD-2020-31249）、Dell EMC RSA Archer信息泄露漏洞（CNVD-2020-31252）、Dell EMC RSA Archer操作系统命令注入漏洞、Dell EMC RSA Archer跨站请求伪造漏洞、Dell EMC RSA Archer跨站脚本漏洞、Dell EMC RSA Archer输入验证错误漏洞、Dell OS recovery未授权访问漏洞。其中，“Dell EMC RSA Archer操作系统命令注入漏洞、Dell OS recovery未授权访问漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoFirepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive SecurityAppliances Software是一套防火墙和网络安全平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，造成拒绝服务。

CNVD收录的相关漏洞包括：Cisco Firepower ThreatDefense和Adaptive Security Appliances Software拒绝服务漏洞（CNVD-2020-31105、CNVD-2020-31104、CNVD-2020-31111、CNVD-2020-31110、CNVD-2020-31114）、Cisco Firepower ThreatDefense和Adaptive Security Appliances Software内存泄漏漏洞、Cisco Firepower Threat Defense拒绝服务漏洞、Cisco Firepower Threat Defense和AdaptiveSecurity Appliances Software信息泄露漏洞。其中，“Cisco Firepower ThreatDefense和Adaptive Security Appliances Software拒绝服务漏洞（CNVD-2020-31105、CNVD-2020-31111、CNVD-2020-31110）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Identity Governance and Intelligence（IGI）是一套身份治理解决方案。IBM Spectrum Scale是一套基于IBM GPFS（专为PB级存储管理而优化的企业文件管理系统）的可扩展的数据及文件管理解决方案。IBM MobileFirst PlatformFoundation是一套移动应用程序管理解决方案。IBM Sterling B2BIntegrator是一套集成了重要的B2B流程、交易和关系的软件。IBM Security Identity Governance and Intelligence（IGI）是一套身份治理解决方案。上周，上述产品被披露存在信息泄露漏洞，攻击者可利用漏洞获取敏感信息。

CNVD收录的相关漏洞包括：IBM Security IdentityGovernance and Intelligence信息泄露漏洞（CNVD-2020-30830、CNVD-2020-30831、CNVD-2020-31092、CNVD-2020-31574）、IBM Spectrum Scale信息泄露漏洞（CNVD-2020-30834）、IBM MobileFirst PlatformFoundation信息泄露漏洞、IBM Sterling B2BIntegrator信息泄露漏洞（CNVD-2020-30842、CNVD-2020-31094）。目前，厂商已经发布了上述漏洞的修补程序。

多款Tenda产品缓冲区溢出漏洞（CNVD-2020-31409）

Tenda AC9等都是中国腾达（Tenda）公司的一款无线路由器。上周，多款Tenda产品被披露存在缓冲区溢出漏洞。攻击者可通过向/goform/SetNetControlList URL发送‘list’参数利用该漏洞执行任意代码。厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，损坏内存。此外Dell、Cisco、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令，造成拒绝服务等。另外，多款Tenda产品被披露存在缓冲区溢出漏洞。攻击者可通过向/goform/SetNetControlListURL发送‘list’参数利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工银融e行、中国农业银行ABC、交通银行、平安口袋银行、财富光大、东莞银行、汇丰中国报道

责任编辑：韩希宇