国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞395个，互联网上出现“Linux expand_downwards()竞争条件漏洞、Open Solutions for Education openSIS SQL注入漏洞（CNVD-2020-52193）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

彻底凉凉？金融消费者权益保护办法出台 大数据爬虫行业未来怎么走

《办法》的出台或能扼制目前各种APP“钻空子”获取消费者信息的行为。>>详细

我的个人金融信息拒绝被“共享”

互联网信息互通时代，个人金融信息若不慎泄露，有被不法分子利用的危险。>>详细

反假货币宣传月 | 警示篇

假币犯罪处罚典型案例，制作、买卖、使用、运输假币违法！>>详细

关于发布《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》的通知

《实践指南》针对App存在的超范围收集、强制索权、频繁索权等问题，给出了当前App个人信息保护十大常见问题和处置指南。>>详细

云闪付APP获得网信办APP安全认证证书

作为银行业统一APP，云闪付APP自发布以来功能持续优化完善，个人信息保护和安全水平持续提升。>>详细

2020年金融网络安全宣传周宣传手册（上）

《网络安全法》第四十四条规定：任何个人和组织不得窃取或者以其他法非方式获取个人信息，不得非法出售或者非法向他人提供个人信息。>>详细

2020年金融网络安全宣传周宣传手册（下）

涉及资金交易的密码既要尽可能复杂，应该包含数字、字母和符号多个类型，但也要便于记忆。>>详细

安全记心头 | 电信诈骗处处有 安全意识层层防

骗术层出不穷，再三提防都不为过！快来看看最新防电信诈骗的招数。>>详细

银行防范逃汇洗钱风险分析

银行在外汇业务中须特别关注涉嫌非法跨境转移的资金，也就是关注疑似逃汇的可疑交易特征。>>详细

安全威胁播报

上周漏洞基本情况

上周（9月14日-20日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞395个，其中高危漏洞94个、中危漏洞231个、低危漏洞70个。漏洞平均分值为5.43。上周收录的漏洞中，涉及0day漏洞51个（占13%），其中互联网上出现“Linux expand_downwards()竞争条件漏洞、Open Solutions for Education openSIS SQL注入漏洞（CNVD-2020-52193）”等零日代码攻击漏洞。

上周重要漏洞安全告警

McAfee产品安全漏洞

McAfee Data Loss Prevention Endpoint（DLPe）是美国迈克菲（McAfee）公司的一套集成式终端数据保护解决方案。McAfee Web Gateway是高性能安全Web网关，采用一个统一的设备软件架构,具有同类最佳的威胁防护。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过Windows锁屏，访问受保护的配置文件，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：McAfee Data LossPrevention Endpoint缓冲区溢出漏洞（CNVD-2020-51803、CNVD-2020-51804）、McAfee Data LossPrevention Endpoint身份验证绕过漏洞、McAfee Web Gateway权限提升漏洞（CNVD-2020-52201、CNVD-2020-52202、CNVD-2020-52200、CNVD-2020-52199、CNVD-2020-52198）。其中，“McAfee Web Gateway权限提升漏洞（CNVD-2020-52198）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Windows Kernel权限提升漏洞（CNVD-2020-52072、CNVD-2020-52077）、Microsoft Windows Function Discovery SSDP权限提升漏洞、Microsoft Windows dnsrslvr.dll权限提升漏洞、Microsoft Windows Ancillary Function Driver for WinSock权限提升漏洞、Microsoft Windows Jet Database Engine远程代码执行漏洞（CNVD-2020-52085、CNVD-2020-52084、CNVD-2020-52086）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

AdobeAcrobat和Reader都是美国奥多比（Adobe）公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。Adobe Magento是一套开源的PHP电子商务系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Magento身份验证绕过漏洞、Adobe Acrobat和Reader内存破坏漏洞（CNVD-2020-52166、CNVD-2020-52168）、Adobe Acrobat和Reader类型混淆漏洞（CNVD-2020-52170、CNVD-2020-52173、CNVD-2020-52172、CNVD-2020-52171）、Adobe Magento Open Source和MagentoCommerce代码注入漏洞。其中，“Adobe Acrobat和Reader内存破坏漏洞（CNVD-2020-52166、CNVD-2020-52168）、Adobe Magento身份验证绕过漏洞、Adobe Magento Open Source和Magento Commerce代码注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Blade Center是一款IBM的服务器管理程序。IBM Maximo AssetManagement是一套综合性资产生命周期和维护管理解决方案。IBM Spectrum Protect Plus是一套数据保护平台。IBM Spectrum Protect是一套数据保护平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过受影响客户端向服务器发送非预期的请求，访问受限目录之外的位置，在目标用户上下文执行恶意操作，执行任意代码等。

CNVD收录的相关漏洞包括：IBM BladeCenter跨站请求伪造漏洞（CNVD-2020-52190、CNVD-2020-52615）、IBM Maximo Asset Management跨站请求伪造漏洞（CNVD-2020-52459）、IBM Maximo AssetManagement反向标签劫持漏洞、IBM Maximo AssetManagement代码执行漏洞、IBM Maximo AssetManagement SQL注入漏洞（CNVD-2020-52460）、IBM Spectrum Protect Plus路径遍历漏洞（CNVD-2020-52458、CNVD-2020-52457）。其中“IBM Maximo Asset Management代码执行漏洞、IBM BladeCenter跨站请求伪造漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NVIDIA Linux GPU Display Driver竞争条件问题漏洞

NVIDIA Linux GPU Display Driver是美国英伟达（NVIDIA）公司的一款专用于Linux平台的图形处理器（GPU）显卡驱动程序。上周，NVIDIA Linux GPU DisplayDriver产品被披露存在竞争条件问题漏洞。攻击者可利用该漏洞造成拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，McAfee产品被披露存在多个漏洞，攻击者可利用漏洞绕过Windows锁屏，访问受保护的配置文件，导致缓冲区溢出或堆溢出等。此外，Microsoft、Adobe、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，提升权限，执行任意代码等。另外，NVIDIA Linux GPU Display Driver产品被披露存在竞争条件问题漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、信安标委、中国银联、第一财经日报、工银融e行、交通银行微银行、财联社报道

责任编辑：韩希宇