国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞252个，互联网上出现“ZyXEL Armor X1 WAP6806路径遍历漏洞、QuickBox远程代码执行漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

关于征求《信息安全技术 可信计算密码支撑平台功能与接口规范》等5项国家标准意见的通知

全国信息安全标准化技术委员会归口的《信息安全技术 可信计算密码支撑平台功能与接口规范》（计划号20201695-T-469）等5项国家标准现已形成标准征求意见稿。>>详细

手机转账300万能实现吗？ 兰州银行：可以有！

兰州银行正式上线企业手机银行，创新与中国金融认证中心（CFCA）合作，采用其“手机盾”方案破解了移动端大额转账难题，最高可实现300万在线转账。>>详细

关于2020年第二批网络安全国家标准项目立项建议征求意见的通知

全国信息安全标准化技术委员会组织了2020年网络安全国家标准项目征集立项评审工作，经秘书处审查、工作组技术初审、WG1和工作组组长联席会议评审、全体委员投票等环节，形成了2020年第二批网络安全国家标准项目立项建议。>>详细

央行：加强征信数据质量和信息安全管理 推进二代征信系统建设

人民银行上海总部召开2020年上海征信管理工作会议，分析了当前征信履职面临的形势和要求，并就下一阶段工作作出部署。>>详细

浅谈新版《网上银行系统信息安全通用规范》之专用安全机制

随着网上银行客户端的普及及运行环境的复杂提升，在传统身份认证硬件设备上新增多种认证方式，而网上银行系统客户端程序运行可信计算环境中一部分需要依赖于身份认证要素硬件设备或其他认证手段来实现。>>详细

金融数据安全规范体系基本成型 未来监管重点会在哪里？

在2020年上半年，陆陆续续有13项政策、规范面世。这些政策多多少少都与金融数据安全相关，或者说与个人金融信息安全相关。>>详细

【安全课堂】了解“二次实名认证”骗局，认清骗子套路

不法分子通过伪基站仿冒支付机构、银行等的官方客服电话，向特定区域内的用户发送含钓鱼链接的手机短信或消息。>>详细

安全威胁播报

上周漏洞基本情况

上周（7月6日-12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞252个，其中高危漏洞56个、中危漏洞163个、低危漏洞33个。漏洞平均分值为5.40。上周收录的漏洞中，涉及0day漏洞44个（占17%），其中互联网上出现“ZyXEL Armor X1 WAP6806路径遍历漏洞、QuickBox远程代码执行漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Cisco产品安全漏洞

Cisco Small Business RV016 Multi-WAN VPN等都是美国思科（Cisco）公司的一款VPN路由器。Cisco Digital NetworkArchitecture Center（DNA Center）是一套数字网络体系结构解决方案。Cisco Unified Contact Center Express（Unified CCX）是一款统一通信解决方案中的客户关系管理组件。Cisco AMP for EndpointsMac Connector Software是一套基于macOS平台的集成了静态和动态恶意软件分析以及威胁情报的终端应用程序。Cisco Identity ServicesEngine（ISE）是一款基于身份的环境感知平台（ISE身份服务引擎）。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问审核日志并获取凭据，执行任意代码，导致拒绝服务。

CNVD收录的相关漏洞包括：多款Cisco产品缓冲区溢出漏洞（CNVD-2020-36259、CNVD-2020-36258、CNVD-2020-36257、CNVD-2020-36260）、Cisco Digital Network Architecture Center日志信息泄露漏洞、Cisco Unified Contact Center Express授权问题漏洞、Cisco AMP for Endpoints Mac Connector Software拒绝服务漏洞、Cisco Identity Services Engine拒绝服务漏洞（CNVD-2020-36263）。其中，“多款Cisco产品缓冲区溢出漏洞（CNVD-2020-36259、CNVD-2020-36258、CNVD-2020-36257、CNVD-2020-36260）”漏洞的综合评级为“高危”。。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Google Android System组件权限提升漏洞（CNVD-2020-36706、CNVD-2020-36705、CNVD-2020-36704、CNVD-2020-36707）、Google Android System组件缓冲区溢出漏洞（CNVD-2020-36709、CNVD-2020-36708）、Google Android System组件资源管理错误漏洞（CNVD-2020-36710）、Android Media Framework权限提升漏洞（CNVD-2020-36750）。其中，“Google Android System组件缓冲区溢出漏洞（CNVD-2020-36708）、Google Android System组件资源管理错误漏洞（CNVD-2020-36710）、Android Media Framework权限提升漏洞（CNVD-2020-36750）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

HuaweiUSG9500等都是中国华为（Huawei）公司的产品。USG9500是一款数据中心防火墙产品。NIP6800是一套入侵防御系统。Secospace USG6600是一款下一代防火墙产品。CloudEngine 6800是一款面对数据中心的6800系列万兆以太网交换机。CloudEngine 12800是一款12800系列数据中心交换机。Huawei Honor View 20等都是一款智能手机。USG6600是一款数据中防火墙产品。OSCA-550AX是一款55寸智慧屏。OSCA-550A是一款55寸采用华为鸿蒙操作系统的终端智慧屏。CloudUSM是华为企业云通信解决方案的核心交换设备，为语音、视频、移动应用、多媒体会议等业务提供统一的会话和媒体控制平台。AP2000是一款无线接入点设备。IPS Module是一款入侵防御系统（IPS）模块。NGFW Module是一款下一代防火墙（NGFW）模块。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行非法操作，导致拒绝服务等。

CNVD收录的相关漏洞包括：Huawei NIP6800、Secospace USG6600和USG9500内存泄露漏洞（CNVD-2020-36723）、Huawei CloudEngine 6800和Huawei CloudEngine 12800拒绝服务漏洞、Huawei Honor 20 PRO、HonorView 20和Honor 20处理不当漏洞、Huawei NIP6800、Secospace USG6600和USG9500 IPSec模块重复释放内存漏洞、多款Huawei产品验证不足漏洞、Huawei CloudUSM-EUA信息泄露漏洞、Huawei NIP6800、Secospace USG6600和USG9500 IPSec模块越界读漏洞、多款Huawei产品越界读取漏洞（CNVD-2020-36735）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe DNG Software Development Kit（SDK）是美国奥多比（Adobe）公司的一款提供读取和写入DNG文件功能的软件开发工具包。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码。

CNVD收录的相关漏洞包括：Adobe DNG SoftwareDevelopment Kit缓冲区溢出漏洞（CNVD-2020-38188、CNVD-2020-38187、CNVD-2020-38186、CNVD-2020-38191、CNVD-2020-38190、CNVD-2020-38189、CNVD-2020-38193、CNVD-2020-38192）。其中，“Adobe DNG SoftwareDevelopment Kit缓冲区溢出漏洞（CNVD-2020-38191、CNVD-2020-38190、CNVD-2020-38193、CNVD-2020-38192）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Honeywell ControlEdge PLC和ControlEdge RTU信息泄露漏洞

Honeywell ControlEdge PLC和ControlEdgeRTU都是美国霍尼韦尔（Honeywell）公司的产品。ControlEdge PLC是一款可编程逻辑控制器（PLC）。ControlEdge RTU是一款远程终端单元（RTU）。上周，Honeywell ControlEdge PLC和RTU被披露存在信息泄露漏洞。攻击者可利用该漏洞获取未加密的密码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Cisco产品被披露存在多个漏洞，攻击者可利用漏洞访问审核日志并获取凭据，执行任意代码，导致拒绝服务。此外，Google、Huawei、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，导致拒绝服务等。另外，Honeywell ControlEdge PLC和RTU被披露存在信息泄露漏洞。攻击者可利用该漏洞获取未加密的密码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、全国信息安全标准化技术委员会、中国工商银行电子银行、移动支付网、网安前哨报道

责任编辑：韩希宇