国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞340个，互联网上出现“Victor CMS跨站脚本漏洞（CNVD-2020-61026）、kkcms存在存储型跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部通报下架60款侵害用户权益APP

依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）等法律和规范性文件要求，工业和信息化部组织对上述App进行下架。>>详细

逾2000人租售银行卡被惩戒 5年内只能用现金禁用微信支付宝

他们将受到5年内只能使用现金消费，不能使用移动支付功能、不能注册支付宝账户和开通微信支付等惩戒。>>详细

金融APP备案元年：200余款已完成 备案列表持续扩容

根据文件精神，银行、证券、基金、期货、保险、清算、非银行支付等都需包含在内，以上各类金融APP必须经由互金协会登记备案“落户”。237号文实施一年，申请备案的APP持续增加，真正将安全治理工作贯彻到了金融领域的方方面面，堪称“史上最严”移动客户端监管。>>详细

人民银行南京分行：推动建立反洗钱关注信息共享区块链系统，助力预防和遏制洗钱犯罪

反洗钱关注信息共享区块链系统是将区块链技术运用到反洗钱工作中，利用区块链技术解决义务机构之间反洗钱信息孤岛问题，提升洗钱风险整体防范水平。>>详细

王岩飞：《中国个人金融信息保护执法白皮书》发布与解读

对于金融行业来说，数据对业务的开展情况影响深远，优质的数据内容将极大的提升金融机构的服务能力。>>详细

网购须小心 | 最新版网购防欺诈小常识，手把手教你远离网购陷阱

不法分子冒充快递客服，谎称快递丢失，以退还货款或双倍赔偿引诱客户提供银行、身份证信息、各类密码等。>>详细

数字科技加码 泛华金融如何缓解小微企业融资之难

双方基于可靠电子签名技术签署的电子合同等文件，不仅具备法律效力，而且防篡改、抗抵赖，实现线上贷款服务兼顾效率、效力与安全。>>详细

百行征信郭胜基：从大数据征信视角谈个人金融信息保护

谈到征信大家会想到大数据风控，一谈到大数据风控会想起大数据，三者之间有着密切的联系，但是相互之间的区别也很大。>>详细

安全威胁播报

上周漏洞基本情况

上周（11月2日-8日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞340个，其中高危漏洞113个、中危漏洞167个、低危漏洞60个。漏洞平均分值为6.00。上周收录的漏洞中，涉及0day漏洞96个（占28%），其中互联网上出现“Victor CMS跨站脚本漏洞（CNVD-2020-61026）、kkcms存在存储型跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apple产品安全漏洞

Apple macOS Catalina是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Apple macOS Mojave是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Apple AirPort Base Station是美国苹果（Apple）公司的一款无线路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成拒绝服务，缓冲区溢出或堆溢出，执行任意代码等。

CNVD收录的相关漏洞包括：Apple macOS Catalina缓冲区溢出漏洞（CNVD-2020-60815、CNVD-2020-61020、CNVD-2020-60814）、Apple macOS Mojave缓冲区溢出漏洞、Apple AirPort Base Station资源管理错误漏洞、Apple AirPort Base Station代码问题漏洞（CNVD-2020-60818、CNVD-2020-60820）、Apple macOS Catalina竞争条件问题漏洞。其中，“Apple macOS Catalina缓冲区溢出漏洞（CNVD-2020-60815、CNVD-2020-61020）、Apple macOS Mojave缓冲区溢出漏洞、Apple AirPort Base Station资源管理错误漏洞、Apple AirPort Base Station代码问题漏洞（CNVD-2020-60818、CNVD-2020-60820）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM i2 Analysts Notebook是美国IBM公司的一款数据可视化分析工具。IBM i2 iBase是一款直观的情报数据管理应用。IBM Sterling External Authentication Server是美国IBM公司的一款客户端应用程序。IBM System x servers是美国国际商业机器公司（IBM）的一款服务器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从浏览器中返回的详细技术错误消息中获取敏感信息，消耗内存资源，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：IBM i2 Analysts Notebook内存破坏漏洞（CNVD-2020-60085、CNVD-2020-60086、CNVD-2020-60087、CNVD-2020-60088）、IBM i2 iBase代码问题漏洞、IBM i2 iBase信息泄露漏洞、IBM Sterling External Authentication Server和IBM Sterling Secure Proxy内存破坏漏洞、IBM System x servers任意代码执行漏洞。其中，“IBM i2 Analysts Notebook内存破坏漏洞（CNVD-2020-60085、CNVD-2020-60086、CNVD-2020-60087、CNVD-2020-60088）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

HPE产品安全漏洞

HPEIntelligent Management Center是美国惠普企业公司（Hewlett Packard Enterprise，HPE）的一套网络智能管理中心解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞实现远程代码执行。

CNVD收录的相关漏洞包括：HPE Intelligent ManagementCenter (iMC) 授权问题漏洞、HPE Intelligent ManagementCenter (iMC) iccselectrules表达式语言注入远程代码执行漏洞（CNVD-2020-60129）、HPE Intelligent Management Center (iMC) perfaddormoddevicemonitor表达式语言注入远程代码执行漏洞（CNVD-2020-60128）、HPE Intelligent Management Center (iMC) ictexpertcsvdownload表达式语言注入远程代码执行漏洞（CNVD-2020-60127）、HPE Intelligent Management Center (iMC) syslogtempletselectwin表达式语言注入远程代码执行漏洞（CNVD-2020-60134）、HPE Intelligent Management Center (iMC) legend表达式语言注入远程代码执行漏洞（CNVD-2020-60133）、HPE Intelligent Management Center (iMC) ByteMessageResourcetransformEntity输入验证远程代码执行漏洞、HPE Intelligent ManagementCenter (iMC) AccessMgrServlet className输入验证远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Chrome是由Google开发的一款设计简单、高效的Web浏览工具，其特点是简洁、快速。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过特制的HTML页面执行沙盒转义，进行本地特权升级，在系统上执行任意代码，或导致应用程序崩溃等。

CNVD收录的相关漏洞包括：Google Chrome堆缓冲区溢出漏洞（CNVD-2020-60469、CNVD-2020-60471）、Google Android actory reset protection权限检查漏洞、Google Chrome video资源管理错误漏洞、Google Chrome V8实现不当漏洞（CNVD-2020-60470、CNVD-2020-60473）、Google Chrome释放后重用漏洞（CNVD-2020-60475）、Google Chrome ANGLE策略执行不足漏洞。其中，“Google Chrome堆缓冲区溢出漏洞（CNVD-2020-60469、CNVD-2020-60471）、Google Android actoryreset protection权限检查漏洞、Google Chrome video资源管理错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux kernel代码问题漏洞（CNVD-2020-61025）

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，Linux kernel产品被披露存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题，攻击者可以利用此漏洞使用被释放的内存，从而导致拒绝服务或执行自定义代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apple产品被披露存在多个漏洞，攻击者可利用漏洞造成拒绝服务，缓冲区溢出或堆溢出，执行任意代码等。此外，IBM、HPE、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞从浏览器中返回的详细技术错误消息中获取敏感信息，消耗内存资源，在系统上执行任意代码等。另外，Linux kernel产品被披露存在代码问题漏洞。攻击者可利用该漏洞使用被释放的内存，从而导致拒绝服务或执行自定义代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工业和信息化部信息通信管理局、交通银行微银行、苏宁银行、新华网、移动支付网报道

责任编辑：韩希宇