国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞395个，互联网上出现“WordPress Click To Top插件存储型跨站脚本漏洞、Joomla! J2 Store SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

构筑以银行稳定为核心的金融安全网

具有中国特色的存款保险制度的不断完善，正在加快构筑起以银行稳定为核心的更加健全的国家金融安全网。>>详细

中国信通院发布《中国网络安全产业白皮书（2020年）》

近三年来网络安全产品市场占比逐步提升，并于2019年首次超过网络安全服务市场，达到50.22%。>>详细

《政务信息系统密码应用与安全性评估工作指南》公开发布

中国密码学会密评联委会组织编制的《政务信息系统密码应用与安全性评估工作指南》(2020版)已于日前发布，用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。>>详细

银行如何防范高风险自然人客户办理现金存取风险？

银行对高风险客户办理现金存取业务，应在“审核内容、确认核实渠道、书面记录核实措施及核实结果”三方面尽到尽职调查义务。>>详细

腾讯副总裁丁珂对话方滨兴院士：如何构建数字经济时代的新安全体系

急剧膨胀的数据存储量、海量的数据流动以及新技术的发展带来一些伴生安全问题，都对传统网络安全体系提出了很多挑战。>>详细

李开复“口误”道歉背后是人们对生物识别信息安全的忧虑

大量的生活场景开始植入个人生物识别技术，这就不由得让人们开始思考，“人脸”识别等个人生物识别信息一旦发生泄漏、滥用该怎么办。>>详细

过足瘾！超多数字化转型必备干货→

《CFCA云课堂》整体回放ing~最新潮的企业数字化转型剖析，最前沿的信息安全解读。超多数字化转型必备干货，行业专家解你所惑。>>详细

CFCA荣获“2019-2020年中国信息安全领域领军企业”称号

目前，“无纸化+证据保全整体解决方案”已广泛应用于银行、保险、证券、供应链金融、消费金融、汽车金融、招投标、政务、医疗、公积金等行业，为各行业轻型化转型发展提供了可靠有效的安全与法律保障。>>详细

安全威胁播报

上周漏洞基本情况

上周（9月7日-13日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞395个，其中高危漏洞142个、中危漏洞194个、低危漏洞59个。漏洞平均分值为5.80。上周收录的漏洞中，涉及0day漏洞188个（占48%），其中互联网上出现“WordPress Click To Top插件存储型跨站脚本漏洞、Joomla! J2 Store SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，破坏内存。

CNVD收录的相关漏洞包括：Microsoft InternetExplorer VBScript Engine远程代码执行漏洞（CNVD-2020-51780、CNVD-2020-51784、CNVD-2020-51783）、Microsoft Internet Explorer远程代码执行漏洞（CNVD-2020-51778、CNVD-2020-51782、CNVD-2020-51781）、Microsoft InternetExplorer MSHTML Engine远程代码执行漏洞、Microsoft InternetExplorer信息泄露漏洞（CNVD-2020-51786）。其中，除“Microsoft Internet Explorer信息泄露漏洞（CNVD-2020-51786）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco FXOS Software是一套运行在思科安全设备中的防火墙软件。Cisco SD-WAN Solution是一套网络扩展解决方案。Cisco AnyConnect SecureMobility Client for Windows是一款基于Windows平台的可通过任何设备安全访问网络和应用的安全移动客户端。Cisco IOS XR软件是用于服务提供商网络的模块化和完全分布式的网络操作系统。Cisco Jabber for Windows是一套用于Windows平台的统一通信客户端解决方案。Cisco Webex Training是一种在线培训解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取管理权限，执行任意代码，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：Cisco NX-OS拒绝服务漏洞（CNVD-2020-50555）、Cisco FXOS和NX-OS拒绝服务漏洞（CNVD-2020-50560）、Cisco SD-WAN Solution权限许可和访问控制问题漏洞（CNVD-2020-50563）、Cisco AnyConnect SecureMobility Client for Windows代码问题漏洞、Cisco IOS XR权限提升漏洞（CNVD-2020-51772）、Cisco Jabber for Windows命令注入漏洞、Cisco Webex Training输入验证错误漏洞、Cisco IOS XR权限提升漏洞（CNVD-2020-51773）。其中，除“Cisco NX-OS拒绝服务漏洞（CNVD-2020-50555）、Cisco IOS XR权限提升漏洞（CNVD-2020-51772）、Cisco Webex Training输入验证错误漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMAPI Connect是一种综合的端到端API生命周期解决方案。IBM Business Process Manager是一套综合的业务流程管理平台。IBM Business Automation Workflow是一套工作流程自动化解决方案。IBM MQ Appliance是一款用于快速部署企业级消息中间件的一体机设备。IBM InfoSphere Information Server是一套数据整合平台。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM Engineering Test Management 是一个协作性的、基于 Web 的质量管理解决方案，可以提供端到端的测试规划和测试资产管理。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，并将用户重定向到网络钓鱼站点，获取敏感信息，执行任意代码，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：IBM API Connect权限提升漏洞（CNVD-2020-50792）、IBM Business ProcessManager和IBM Business Automation Workflow安全绕过漏洞、IBM Business Process Manager和IBMBusiness Automation Workflow信息泄露漏洞、IBM MQ Appliance拒绝服务漏洞（CNVD-2020-50796）、IBM InfoSphere InformationServer跨站脚本漏洞（CNVD-2020-50801）、IBM Aspera Connect代码执行漏洞、IBM Engineering TestManagement信息泄露漏洞、IBM Engineering TestManagement跨站脚本漏洞。其中，“IBM Aspera Connect代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

Apple iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。Apple iOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：Apple iTunes for WindowsImageIO越界写入漏洞（CNVD-2020-51491、CNVD-2020-51492）、Apple iTunes for WindowsImageIO组件越界读取漏洞、Apple iTunes for WindowsImageIO组件远程代码执行漏洞、多款Apple产品GeoServices组件授权问题漏洞、多款Apple产品Wi-Fi组件越界读取漏洞、多款Apple产品Audio组件越界写入漏洞、多款Apple产品WebKit组件越界读取漏洞（CNVD-2020-51502）。其中，除“多款Apple产品GeoServices组件授权问题漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla Firefox资源管理错误漏洞（CNVD-2020-51034）

Mozilla Firefox是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。上周，Mozilla Firefox产品被披露存在资源管理错误漏洞。攻击者可借助特制的请求利用该漏洞造成拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，破坏内存。此外，Cisco、IBM、Apple等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，并将用户重定向到网络钓鱼站点，获取敏感信息，执行任意代码，导致拒绝服务攻击等。另外，Mozilla Firefox被披露存在资源管理错误漏洞。攻击者可借助特制的请求利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家密码管理局、中国信息通信研究院、21世纪经济报道、每日经济新闻、第一财经报道

责任编辑：韩希宇