国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞477个，互联网上出现“Ghisler Total Commander权限提升漏洞、Symphony CMS跨站脚本漏洞（CNVD-2020-63998）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

2020互联网“加法”：数字化“底板”厚势可期

网络安全是未来数字化的底版,须注意加固，使其牢不可破，为数字化保驾护航。如果网络安全技术不能领先，就会影响整个数字化的进程。>>详细

调查显示：手机银行C端用户看重的是这些因素

用户在最新版紫金农商银行手机银行上开通该功能，无需携带动态口令牌、蓝牙Key等物理安全介质，即可完成单日累计额度不超过50万元的转账，操作便捷，安全可靠，且无任何开通费用。>>详细

《信息安全技术 网络产品和服务安全通用要求》等11项网络安全国家标准获批发布

全国信息安全标准化技术委员会归口的GB/T 39276-2020《信息安全技术 网络产品和服务安全通用要求》等11项国家标准正式发布。>>详细

CFCA联手中国移动为5G安全保驾护航！

传统线下业务向线上互联网转型的需求更加迫切，“在用户‘不接触、不见面’的情况下，5G快签凭借中移互联网特色的号卡能力，以CFCA的电子认证为基础，通过5G消息、短信小程序等多维度的形式触达用户。>>详细

社论：人脸识别技术法律缺口亟待补上

与数字密码不同，生物特征具有唯一性和不可更改性等特点，一旦泄露就是终身泄露，在某种意义上，生物特征是最后的防线。>>详细

攻防对抗实网演练 捕捉金融防御体系中的Mr.Wrong

自国家启动“护网行动”以来，防御效果显著，通过实网攻防对抗，很多隐藏的漏洞被及时发掘出来，一定程度上加强了企业内各部门间的合作，安全人员的业务水平也变向获得历练。>>详细

关于印发《商业银行应用程序接口安全管理检测规范》和《移动金融客户端应用软件安全检测规范》的通知

为落实人民银行和国家认监委关于金融科技产品认证工作的要求，加强金融科技产品认证工作的自律管理，中国支付清算协会起草了《商业银行应用程序接口安全管理检测规范》和《移动金融客户端应用软件安全检测规范》。>>详细

“断卡”行动，你了解多少？

2020年10月10日，国务院打击治理电信网络新型违法犯罪工作部际联席会议全国“断卡”行动部署会召开。“断卡”行动与我们每个人息息相关！>>详细

电信诈骗防范小技巧，你值得拥有

近年来，利用科技手段进行网络电信诈骗的案例不断增多，严重损害了人民群众的财产安全。>>详细

安全威胁播报

上周漏洞基本情况

上周（11月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞477个，其中高危漏洞109个、中危漏洞245个、低危漏洞123个。漏洞平均分值为5.34。上周收录的漏洞中，涉及0day漏洞206个（占43%），其中互联网上出现“Ghisler Total Commander权限提升漏洞、Symphony CMS跨站脚本漏洞（CNVD-2020-63998）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。Azure Sphere是一个安全的高级应用程序平台，具有用于联网设备的内置通信和安全功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取资源ID、SAS 令牌、用户属性和其他敏感信息，执行任意代码，触发拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft SharePoint远程代码执行漏洞（CNVD-2020-63731、CNVD-2020-63730、CNVD-2020-63733）、Microsoft Azure Sphere拒绝服务漏洞、Microsoft Azure Sphere篡改漏洞、Microsoft Azure Sphere权限提升漏洞（CNVD-2020-63391、CNVD-2020-63390）、Microsoft Azure Sphere信息泄露漏洞。其中，“Microsoft SharePoint远程代码执行漏洞（CNVD-2020-63731、CNVD-2020-63730、CNVD-2020-63733）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Chrome是由Google开发的一款设计简单、高效的Web浏览工具。上周，上述产品被披露存在多个漏洞，攻击者可利用通过精心制作的WebRTC流利用堆破坏，通过一个HTML页面绕过站点隔离，利用堆破坏，执行一个沙箱逃脱等。

CNVD收录的相关漏洞包括：Google Chrome释放后重用漏洞（CNVD-2020-63264、CNVD-2020-63268、CNVD-2020-63271、CNVD-2020-63270、CNVD-2020-63269、CNVD-2020-63273、CNVD-2020-63272）、Google Chrome整数溢出漏洞（CNVD-2020-63266）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMUrbanCode Deploy（UCD）是美国IBM公司的一套应用自动化部署工具。IBM Sterling B2BIntegrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。IBM Business AutomationWorkflow是美国IBM公司的一套工作流程自动化解决方案。IBM Sterling File Gateway是美国IBM公司的一款文件传输集中式管理网关产品。IBM Sterling B2BIntegrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM Sterling B2BIntegrator是一个交易引擎，是一套根据您的业务需求运行您定义和管理的流程的组件。IBM Sterling File Gateway是一款用于在内部和外部合作伙伴之间传输文件的应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送专门编写的SQL语句，这些语句允许攻击者查看、添加、修改或删除后端数据库中的信息，在Web UI中嵌入任意JavaScript代码，从而改变预期的功能，从而可能导致可信会话中的凭据泄露，劫持受害者的点击动作，并可能对受害者进行进一步的攻击等。

CNVD收录的相关漏洞包括：IBM UrbanCode Deploy安全绕过漏洞（CNVD-2020-63484）、IBM Sterling B2BIntegrator SQL注入漏洞（CNVD-2020-63942）、IBM Business Automation Workflow跨站脚本漏洞（CNVD-2020-63941）、IBM Sterling File GatewaySQL注入漏洞（CNVD-2020-63940）、IBM Sterling B2B Integrator授权问题漏洞、IBM App Connect Enterprise点击劫持漏洞、IBM Sterling B2B Integrator Standard Edition信息泄露漏洞（CNVD-2020-63967）、IBM Sterling File Gateway信息泄露漏洞（CNVD-2020-63969）。其中，“IBM Sterling B2BIntegrator授权问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle FLEXCUBE Direct Banking使银行可基于人口统计学和细分市场提供量身定制的、基于门户的丰富在线客户体验。Oracle CRM TechnicalFoundation是美国甲骨文（Oracle）公司的一个CRM应用程序开发和部署的基础组件。Oracle FLEXCUBE UniversalBanking是一项实时、在线、全面的全球核心银行业务方案，涵盖零售、企业及投资银行业务。Oracle PeopleSoftEnterprise PeopleTools是美国甲骨文（Oracle）公司的一个支持转变企业管理。Oracle Banking Corporate Lending是美国甲骨文（Oracle）公司的一个银行贷款管理组件。Oracle Banking Payments是一个完整的支付处理解决方案。Oracle Hospitality Suite8是美国甲骨文（Oracle）公司的一个应用于酒店管理的数字化解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞未经授权访问关键数据或完全访问所有Oracle FLEXCUBE DirectBanking可访问的数据，未经授权访问关键数据或完全访问所有Oracle FLEXCUBE UniversalBanking可访问的数据等。

CNVD收录的相关漏洞包括：Oracle FLEXCUBE DirectBanking信息泄露漏洞（CNVD-2020-64252）、Oracle FLEXCUBE Direct Banking信息泄露漏洞、Oracle CRM Technical Foundation未授权访问漏洞、Oracle FLEXCUBE Universal Banking信息泄露漏洞（CNVD-2020-64251）、Oracle PeopleSoftEnterprise PeopleTools授权问题漏洞、Oracle Banking CorporateLending信息泄露漏洞、Oracle Banking Payments信息泄露漏洞（CNVD-2020-64254）、Oracle Hospitality Suite8WebConnect未授权访问漏洞。其中，“Oracle FLEXCUBE DirectBanking信息泄露漏洞（CNVD-2020-64252）、Oracle FLEXCUBE Direct Banking信息泄露漏洞、Oracle CRM Technical Foundation未授权访问漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux kernel perf_event_parse_addr_filter()代码问题漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，Linux kernel perf_event_parse_addr_filter()被披露存在代码问题漏洞。攻击者可利用该漏洞可以通过perf_event_parse_addr_filter()来创建内存泄漏，从而触发拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取资源ID、SAS 令牌、用户属性和其他敏感信息，执行任意代码，触发拒绝服务等。此外，Google、IBM、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的WebRTC流利用堆破坏，发送专门编写的SQL语句，这些语句允许攻击者查看、添加、修改或删除后端数据库中的信息，未经授权访问关键数据或完全访问所有Oracle FLEXCUBE Direct Banking可访问的数据等。另外，Linux kernel perf_event_parse_addr_filter()被披露存在代码问题漏洞。攻击者可利用该漏洞可以通过perf_event_parse_addr_filter()来创建内存泄漏，从而触发拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、第一财经、中国支付清算协会、信安标委、恒丰银行、上饶银行报道

责任编辑：韩希宇