国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞360个，互联网上出现“SourceCodester GymManagement System跨站脚本漏洞、WordPress Fancy ProductDesigner For WooCommerce文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行：改进技术手段 避免将风控责任全压在开户环节

严查风暴之下，依然有银行因对公账户监测不到位等问题而被处罚。>>详细

工业和信息化部组织召开全国APP个人信息保护监管会

工业和信息化部信息通信管理局介绍了APP个人信息保护相关工作情况，并对相关企业存在的推诿、故意拖延整改、落实整改不到位等问题进行了通报。>>详细

关于发布《网络安全标准实践指南—移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的通知

《实践指南》给出了SDK常见安全风险，针对当前App使用SDK过程中存在的SDK自身安全漏洞、SDK恶意行为、SDK违法违规收集App用户的个人信息问题，结合当前移动互联网技术及应用现状，给出了App提供者、SDK提供者针对SDK安全问题的实践指引。>>详细

2020年我国网络安全产业规模预估将超1700亿元

2020年我国网络安全产业规模预估将超过1700亿元，较2015年翻了一番。>>详细

“人脸识别”背后的渠道商生态

售楼处安装了“人脸识别”之后，凡是渠道拜访客户，开发商都会进行人脸比对，如果发现其之前主动到访过，就认为销售人员带看无效，不需要付佣金，由此节省一笔成本。>>详细

CFCA赵宇：全生命周期数据安全治理 助力金融机构行稳致远

科学的防护体系，可以让数据安全相关工作事半功倍，高效地降低数据泄露的风险。在运用DLP（Data Loss Prevention）数据泄露防护方法论之前，要先明确DME（Discovery Monitoring Enforcement）。>>详细

数字经济潮流势不可挡 安全体系需与时俱进

随着购物、支付、理财等网络活动渗透率不断提升，一些从业机构积累了海量客户行为数据和交易数据，但其数据保护意识、内部管理水平和网络攻击防范能力存在不足，也会增加数据集中之后泄露的风险。>>详细

姣姣说消保 | 丢手机的第一件事不是心疼！赶紧这样做，避免更多财产损失

移动支付时代的手机几乎等同于钱包+各类理财账户集锦，手机银行、支付宝、微信钱包、证券、基金软件都绑定了银行卡，一旦手机遗失，若处理不当可能会导致更多资金损失。>>详细

安全威胁播报

上周漏洞基本情况

上周（11月23日-29日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞360个，其中高危漏洞89个、中危漏洞200个、低危漏洞71个。漏洞平均分值为5.79。上周收录的漏洞中，涉及0day漏洞126个（占35%），其中互联网上出现“SourceCodester GymManagement System跨站脚本漏洞、WordPress Fancy ProductDesigner For WooCommerce文件上传漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apple产品安全漏洞

Apple macOS Catalina是一款苹果公司的Mac平台上的操作系统。Apple iOS是一套为移动设备所开发的操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple watchOS是一套智能手表操作系统。Apple tvOS是一套智能电视操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以内核权限执行任意代码等。

CNVD收录的相关漏洞包括：Apple macOS Catalina蓝牙内存破坏漏洞、多款Apple产品Kernel组件内存破坏漏洞（CNVD-2020-65921、CNVD-2020-65922）、多款Apple产品Kernel组件信息泄露漏洞（CNVD-2020-65923）、多款Apple产品越界读取漏洞（CNVD-2020-65927）、多款Apple产品Kernel组件整数溢出漏洞、多款Apple产品内存破坏漏洞（CNVD-2020-65942）、多款Apple产品内存初始化漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Security Manager（CSM）是一套企业级的管理应用，它主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。Cisco DNA Spaces:Connector用于将Cisco DNA Spaces连接到Cisco无线控制器。Cisco IntegratedManagement Controller (IMC)是一个为Cisco UCS C系列机架式服务器和Cisco S系列存储服务器提供嵌入式服务器管理的基板管理控制器。Cisco IoT Field Network Director (FND)是大规模FAN部署的网络管理系统。Cisco Adaptive SecurityAppliance (ASA)软件是为Cisco ASA系列提供核心操作系统。Cisco SD-WAN Solution是Cisco的一套网络扩展解决方案，vManage是其中的控制台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问后端数据库并读取、更改或删除信息，执行任意命令，导致设备重新加载等。

CNVD收录的相关漏洞包括：Cisco Security Manager输入验证错误漏洞、Cisco DNA Spaces Connector命令注入漏洞、Cisco Integrated Management Controller远程代码执行漏洞、Cisco IoT Field Network Director SOAP API授权绕过漏洞、Cisco IoT Field Network Director权限提升漏洞、Cisco Adaptive Security Appliance (ASA)软件拒绝服务漏洞、Cisco SD-WAN vManage XML外部实体注入漏洞（CNVD-2020-66212、CNVD-2020-66211）。其中，除“Cisco SD-WAN vManage XML外部实体注入漏洞（CNVD-2020-66212、CNVD-2020-66211）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAPNetweaver是一套面向服务的集成化应用平台。SAP Fiori是一套为SAP应用程序提供用户体验（UX）的设计系统，它为设计人员和开发人员提供了一套工具和指南，能够快速地开发适用于任何平台的应用，为创建者和用户提供一致、创新的体验。SAP Solution Manager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP 3D Visual Enterprise Viewer是一款适用于Windows的免费3D可视化查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致应用程序崩溃等。

CNVD收录的相关漏洞包括：SAP NetWeaver AS ABAP信息泄露漏洞（CNVD-2020-65554）、SAP Fiori Launchpad服务器端请求伪造漏洞、SAP Solution Manager和SAPFocused Run操作系统命令注入漏洞、SAP 3D visual EnterpriseViewer输入验证错误漏洞（CNVD-2020-65565、CNVD-2020-65566、CNVD-2020-65564、CNVD-2020-65567、CNVD-2020-65568）。其中，“SAP Fiori Launchpad服务器端请求伪造漏洞、SAP Solution Manager和SAPFocused Run操作系统命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行代码，导致拒绝服务。

CNVD收录的相关漏洞包括：Google Android远程代码执行漏洞（CNVD-2020-65248、CNVD-2020-65246、CNVD-2020-65249）、Google Android权限提升漏洞（CNVD-2020-65247、CNVD-2020-65250）、Google Android信息泄露漏洞（CNVD-2020-65245）、Google Android拒绝服务漏洞（CNVD-2020-65251、CNVD-2020-65252）。其中，“Google Android远程代码执行漏洞（CNVD-2020-65246、CNVD-2020-65249）、Google Android拒绝服务漏洞（CNVD-2020-65251、CNVD-2020-65252）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Paradox IP150缓冲区溢出漏洞

Paradox IP150是一个提供通过网络来监控管理Paradox设备的通信模块。上周，Paradox IP150被披露存在缓冲区溢出漏洞。远程攻击者可利用该漏洞提交特殊的请求，可以应用程序上下文执行任意代码或使应用程序崩溃。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apple产品被披露存在多个漏洞，攻击者可利用漏洞以内核权限执行任意代码等。此外，Cisco、SAP、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞访问后端数据库并读取、更改或删除信息，提升权限，执行任意命令，导致拒绝服务等。另外，Paradox IP150被披露存在缓冲区溢出漏洞。远程攻击者可利用该漏洞提交特殊的请求，可以应用程序上下文执行任意代码或使应用程序崩溃。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工业和信息化部、信安标委、新华网、21世纪经济报道、每日经济新闻、中国证券报·中证网、交通银行微银行报道

责任编辑：韩希宇