国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞673个，互联网上出现“LimeSurvey 'Survey Menu'存储型跨站脚本漏洞、ZKTeco FaceDepot和ZKBiosecurityServer令牌重用漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工业和信息化部就《通信短信息和语音呼叫服务管理规定（征求意见稿）》公开征求意见

为切实保障人民群众合法权益，推动短信息服务和语音呼叫服务高质量发展，工业和信息化部结合前期实践经验，对《通信短信息服务管理规定》（工业和信息化部令第31号）进行修订。>>详细

商务部、科技部调整发布《中国禁止出口限制出口技术目录》 涉及信息安全技术

根据《中华人民共和国对外贸易法》和《中华人民共和国技术进出口管理条例》，商务部、科技部对《中国禁止出口限制出口技术目录》（商务部 科技部令2008年第12号附件）内容作部分调整，现予以公布。>>详细

没有高回报低风险和一夜暴富，一行两会宣教金融消费者别被骗

随着金融创新的快速发展，金融产品和服务变得越来越复杂，普通金融消费者对金融风险的识别能力较低，易受到金融风险的伤害。>>详细

速读《2019年中国互联网网络安全报告》（上）

8月11日，国家互联网应急中心（CNCERT/CC）正式发布《2019年中国互联网网络安全报告》，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。>>详细

速读《2019年中国互联网网络安全报告》（下）

>>详细

关于国家标准《信息安全技术 网络数据处理安全规范》征求意见稿征求意见的通知

经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术 网络数据处理安全规范》征求意见稿。>>详细

银行防范跨境电商洗钱风险分析

面对庞大又不断成长的跨境电商交易金额，银行不可忽视为跨境电商平台提供资金结算服务背后所隐藏的洗钱风险。>>详细

物联网时代，智能门锁安全吗？

智能门锁是物联网时代的产物，由于它的便捷性，受到越来越多的家庭认可，是守护人身安全和财产安全的重要防线。>>详细

安全威胁播报

上周漏洞基本情况

上周（8月24日-30日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞673个，其中高危漏洞289个、中危漏洞329个、低危漏洞55个。漏洞平均分值为6.14。上周收录的漏洞中，涉及0day漏洞480个（占71%），其中互联网上出现“LimeSurvey 'Survey Menu'存储型跨站脚本漏洞、ZKTeco FaceDepot和ZKBiosecurityServer令牌重用漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Excel是一款Office套件中的电子表格处理软件。Microsoft Office是一款办公软件套件产品。Microsoft SharePoint是一套企业业务协作平台。Microsoft Word是一套Office套件中的文字处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft InternetExplorer远程代码执行漏洞（CNVD-2020-47963）、Microsoft Windows和Microsoft Windows Server权限提升漏洞（CNVD-2020-48258、CNVD-2020-48261、CNVD-2020-48270、CNVD-2020-48274）、Microsoft Excel远程代码执行漏洞（CNVD-2020-48604）、Microsoft Excel代码执行漏洞（CNVD-2020-48656）、Microsoft Word信息泄露漏洞（CNVD-2020-49005）。其中，除“Microsoft Word信息泄露漏洞（CNVD-2020-49005）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Nexus 9000 Series Switches是一款9000系列交换机。Cisco Nexus 9500 R-SeriesLine Cards and Fabric Modules是一款9500R系列线卡模块。Cisco Nexus 3000 Series Switches是一款3000系列交换机。Cisco Nexus 3500 PlatformSwitches是一款3500系列平台交换机。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco Nexus 7000 Series Switches是一款7000系列交换机。Cisco MDS 9000 SeriesMultilayer Switches是一款MDS 9000系列多层交换机。Cisco Video Surveillance 8000 Series IP Cameras是一款网络摄像设备。Cisco Small Business Smart and Managed Switches是一款思科交换机设备。Cisco Data Center Network Manager（DCNM）是一套数据中心管理系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在底层操作系统上以提升的权限执行任意命令，造成拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Nexus 9000 SeriesFCoE NPV拒绝服务漏洞、Cisco NX-OS Software CLI命令注入漏洞（CNVD-2020-47610）、Cisco NX-OS Software命令注入漏洞（CNVD-2020-47609、CNVD-2020-47607、CNVD-2020-47611）、Cisco Data Center NetworkManager跨站脚本漏洞（CNVD-2020-48587）、Cisco Video Surveillance 8000 Series IP Cameras内存泄露漏洞、Cisco Small Business Smart and Managed Switches拒绝服务漏洞。其中，“Cisco NX-OS Software CLI命令注入漏洞（CNVD-2020-47610）、Cisco NX-OS Software命令注入漏洞（CNVD-2020-47609、CNVD-2020-47607、CNVD-2020-47611）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMSecurity Guardium是一套提供数据保护功能的平台。IBM Verify Gateway（IVG）是一套基于云的身份验证解决方案。IBM QRadar SIEM是一套利用安全智能保护资产和信息远离高级威胁的解决方案。IBM InfoSphere InformationServer是一套数据整合平台。IBM Spectrum Virtualize是一款纯软件的存储产品，支持软件定义存储管理和保护海量数据。IBM Planning Analytics是一套业务规划分析解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：IBM Security Guardium信息泄露漏洞（CNVD-2020-47942）、IBM Verify Gateway信息泄露漏洞、IBM QRadar SIEM跨站脚本漏洞（CNVD-2020-47950）、IBM QRadar SIEM操作系统命令注入漏洞、IBM InfoSphere InformationServer远程代码执行漏洞、IBM QRadar SIEM XML实体注入漏洞、IBM Spectrum Virtualize权限提升漏洞、IBM Planning Analytics Workspace资源管理错误漏洞。其中，“IBM InfoSphere Information Server远程代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

Apple macOS Catalina是一套专为Mac计算机所开发的专用操作系统。Apple iOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple watchOS是一套智能手表操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Apple macOS CatalinaCoreAudio组件缓冲区溢出漏洞、多款Apple产品ImageIO组件任意代码执行漏洞、Apple tvOS、iOS和iPadOS AVEVideoEncoder组件任意代码执行漏洞、多款Apple产品Audio组件任意代码执行漏洞（CNVD-2020-49300）、Apple iOS、iPadOS和watchOS Kernel组件内存破坏漏洞、Apple macOS CatalinaGraphics Drivers组件越界读取漏洞、Apple macOS CatalinaSandbox组件命令注入漏洞、Apple macOS Catalina kshshell命令执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Silicon Labs Bluetooth Low Energy SDK缓冲区溢出漏洞

Silicon Labs Bluetooth Low Energy SDK是一款低功能蓝牙开发套件。上周，Silicon Labs Bluetooth Low Energy SDK被披露存在缓冲区溢出漏洞。远程攻击者可利用该漏洞提交特殊的请求，使应用程序崩溃或在应用程序上下文执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。此外，Cisco、IBM、Apple等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，造成拒绝服务等。另外，Silicon Labs Bluetooth Low Energy SDK被披露存在缓冲区溢出漏洞。远程攻击者可利用该漏洞提交特殊的请求，使应用程序崩溃或在应用程序上下文执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部、商务部、网信中国、信安标委、第一财经、网安前哨报道

责任编辑：韩希宇