国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞372个，互联网上出现“WordPress Colorbox Lightbox跨站脚本漏洞、WebBuilder SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行副行长范一飞：警惕交叉业务风险、供应链金融安全等问题 织密风险防控的“安全网”

防范化解风险是金融工作的根本性任务，金融业要积极运用新一代信息技术丰富监管手段，探索金融风险甄别、防范、化解的新路径，全面提升金融监管效能，织密风险防控的“安全网”。>>详细

你真的被APP窃听了？工信部做了32万款APP技术检测，结果......

10月22日，工信部新闻发言人、信息通信发展司司长闻库表示，目前，工信部已完成国内主流应用商店32万款APP的技术检测工作，督促1100多家企业进行整改。>>详细

科普知识栏｜手机丢了？别慌！四步操作降损失

在寻求警察叔叔帮助的同时，强烈建议你一秒都不要耽误、以最快速度完成以下四步操作，以免引发“一台手机”之外更大的财产损失！>>详细

中国人民银行有关部门负责人就部分金融机构侵害消费者金融信息安全权案件相关情况答记者问

截至目前，各涉案机构均已进行整改和问责，进一步健全消费者金融信息保护内部控制机制，完善信息安全技术防范措施，强化从业人员消费者金融信息安全意识。>>详细

不同意处理个人信息，也将可以使用各种软件！个人信息保护法（草案）征求意见，明确了很多规定

个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务。>>详细

金融安全三十六计

非法广告爱吹牛，不谈风险利相诱；资质权责需看清，不贪不信不上钩。>>详细

齐鲁医院与中国金融认证中心(CFCA)达成战略合作 共建智慧医疗

正值山东大学齐鲁医院一百三十周年院庆之际，齐鲁医院与中国金融认证中心（CFCA）正式签署战略合作协议，双方将基于开放、互联、健康、共赢的生态合作理念，本着相互促进、优势互补、共同发展的原则，就智慧医院建设过程中的电子认证服务领域展开深度合作。>>详细

跨境赌博利用数字货币“洗白”，警银合力斩断犯罪资金链

涉案资金不仅在银行账户内流转，还涉及数字货币，通过多次“洗白”，资金走向极为隐蔽。>>详细

安全威胁播报

上周漏洞基本情况

上周（10月12日-18日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞372个，其中高危漏洞124个、中危漏洞180个、低危漏洞68个。漏洞平均分值为5.66。上周收录的漏洞中，涉及0day漏洞153个（占41%），其中互联网上出现“WordPress Colorbox Lightbox跨站脚本漏洞、WebBuilder SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Microsoft Windows备份服务权限提升漏洞（CNVD-2020-56633、CNVD-2020-56636、CNVD-2020-56643）、Microsoft Windows应用程序兼容性客户端库权限提升漏洞（CNVD-2020-56634、CNVD-2020-56637）、Microsoft Windows WER权限提升漏洞、Microsoft Windows备份服务权限提升漏洞、Microsoft Windows UserProfile Service(ProfSvc)权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Google Android代码问题漏洞（CNVD-2020-55949、CNVD-2020-55948、CNVD-2020-55953、CNVD-2020-55952）、Google Android信息泄露漏洞（CNVD-2020-55954）、Google Android代码执行漏洞（CNVD-2020-55957）、Google Android权限提升漏洞（CNVD-2020-55956、CNVD-2020-56129）。其中，除“Google Android信息泄露漏洞（CNVD-2020-55954）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMInformix Dynamic Server（IDS）是一款可扩展的对象关系数据库服务器，它为集群数据中心提供持续数据可用性和灾难恢复等功能。IBM Curam Social ProgramManagement是一套社会计划管理解决方案，支持端到端社会项目交付流程。IBM Maximo AssetManagement是一个针对资产密集型行业的综合解决方案，用于通过公共平台管理企业实物资产。IBM Security AccessManager是一款简单的访问管理解决方案,可帮助企业防范威胁漏洞。IBM Cognos Analytics是一套商业智能软件，可提供有价值的信息、安全的数据治理和报告。IBM InfoSphere Information Server是一套数据整合平台，包含一系列产品，使您能够理解、清理、监控、转换及传送数据，以及协作以弥合业务与IT之间的差距。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过认证，获取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：IBM Security Guardium信息泄露漏洞（CNVD-2020-56393）、IBM InfoSphere InformationServer HTML注入漏洞、IBM Security Guardium CSV注入漏洞、IBM Informix Dynamic Server授权问题漏洞、IBM Curam Social Program Management跨站请求伪造漏洞（CNVD-2020-56450）、IBM Maximo AssetManagement认证绕过漏洞、IBM Security AccessManager跨站脚本漏洞（CNVD-2020-56453）、IBM Cognos Analytics CSV注入漏洞。其中，“IBM Security Guardium CSV注入漏洞、IBM Curam Social Program Management跨站请求伪造漏洞（CNVD-2020-56450）、IBM Maximo AssetManagement认证绕过漏洞、IBM Cognos Analytics CSV注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco StarOS是一套路由器操作系统，可控制整个系统逻辑，可控制进程和CLI。Cisco IOS XE是美国Cisco公司为其网络设备开发的一套基于Linux内核的模块化操作系统。Cisco FXOS是Firepower可扩展操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco StarOS权限提升漏洞（CNVD-2020-56458、CNVD-2020-56463）、Cisco IOS XE拒绝服务漏洞（CNVD-2020-56462、CNVD-2020-56629）、Cisco IOS XE命令注入漏洞（CNVD-2020-56465）、Cisco FXOS缓冲区溢出漏洞、Cisco IOS XE Software任意代码执行漏洞、Cisco IOS XE任意代码执行漏洞（CNVD-2020-56468）。其中，除“Cisco StarOS权限提升漏洞（CNVD-2020-56458）\Cisco IOS XE拒绝服务漏洞（CNVD-2020-56462）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

GitLab跨站脚本漏洞（CNVD-2020-56448）

GitLab是一个利用Ruby on Rails开发的开源应用程序，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。上周，GitLab被披露存在跨站脚本漏洞。攻击者可通过组名称利用该漏洞进行跨站脚本攻击。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。此外，Google、IBM、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过认证，获取敏感信息，提升权限，执行任意代码，导致拒绝服务等。另外，GitLab被披露存在跨站脚本漏洞。攻击者可通过组名称利用该漏洞进行跨站脚本攻击。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、第一财经、每日经济新闻、中国证券报、中国电信客服、河北银行彩虹Bank报道

责任编辑：韩希宇