国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞266个，互联网上出现“cxuucms SQL注入漏洞、Desdev DedeCMS跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

金融业网络安全态势感知与信息共享平台初步建成

金融业网络安全态势感知与信息共享平台建设应共建共赢。作为金融业网络安全重要基础设施，金融机构要持续提升数据报送质量，吸引更多企业参与，打造行业内外网络安全威胁信息和服务“双循环”生态，支撑平台长期可持续运营。>>详细

《信息系统密码应用测评要求》等5项密码应用与安全性评估指导性文件发布

依据《中华人民共和国密码法》等法律法规，中国密码学会密评联委会组织编制了《信息系统密码应用测评要求》等5项指导性文件。>>详细

《北京市电子印章推广应用行动方案(试行)》正式发布

《行动方案》明确，2020年底前逐步实现政府部门在受理、审批等过程中使用电子印章对电子证照、批文批复、合同等各类电子材料进行签章，凡可以使用电子材料的，均应当提供电子版式。>>详细

金融类App必要个人信息范围将被“圈定” 收集范围未包括通讯录、位置信息、相机等方面

金融类App必要个人信息的收集范围均未包括通讯录、位置信息、相机等方面。此前，网络借贷App用户曾因通讯录等信息暴露，被暴力催收所扰。>>详细

APP个人信息保护标准先行 工业和信息化部组织发布18项团体标准

推动标准化是加强个人信息保护工作的关键环节，对规范企业经营行为，提升监管检测的自动化、智能化水平具有重要意义。>>详细

中国（厦门）国际贸易单一窗口全国跨境法人身份识别体系（LEI）平台上线

全国跨境法人身份识别体系(LEI)平台是指全球法人识别编码（LEI）的赋码和应用平台。>>详细

重庆农商行电子银行安全宝典（三）良好用卡习惯

只需一次注册，即可开通重庆农村商业银行网上银行、手机银行、微信银行等电子银行产品。>>详细

可信电子签名加持不动产登记改革：全程无纸化 便民又高效

江苏省江阴市行政审批局通过与中国金融认证中心（CFCA）合作，为该平台引入人脸识别等在线身份认证、无纸化可信签名系统，实现不动产登记全流程无纸化，有效保障了线上业务办理的安全合规及法律有效性，确保身份防假冒，交易数据防伪造、防篡改，签署意愿不可抵赖。>>详细

【安全课堂】把好这一道关，不怕被骗！

在交易环节，为了确认是本人操作的安全交易，通常需要使用动态验证码或安全介质、指纹、刷脸等进行最后验证，这是资金出账的一道关键防线。>>详细

安全威胁播报

上周漏洞基本情况

上周（11月30日-12月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞266个，其中高危漏洞81个、中危漏洞166个、低危漏洞19个。漏洞平均分值为5.86。上周收录的漏洞中，涉及0day漏洞170个（占64%），其中互联网上出现“cxuucms SQL注入漏洞、Desdev DedeCMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM Spectrum Protect Plus是用于虚拟环境的数据保护和可用性解决方案。IBM Spectrum Protect Operations Center是美国IBM公司的一个为 IBM Spectrum Protect 环境提供可视化控制的软件。IBM Sterling B2B Integrator是一个交易引擎，是一套根据您的业务需求运行您定义和管理的流程的组件。IBM Cloud Pak for Security是一款使用统一接口的集成安全工具，可深入洞察混合多云环境中的威胁。Maxmind Libmaxminddb是美国Maxmind公司的一个用于处理Maxmind类型文件的C代码库。IBM Cognos Controller是美国IBM公司的一套商业智能与计划解决方案。IBM DB2是美国IBM公司的一套关系型数据库管理系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取密码、加密密钥等硬编码凭据，创建一个恶意的DLL，然后将其放到IBM DB2的当前目录中，以便执行代码等。

CNVD收录的相关漏洞包括：IBM Spectrum Protect Plus硬编码凭据漏洞、IBM Spectrum Protect Operations Center信息泄露漏洞（CNVD-2020-67638）、IBM Sterling B2BIntegrator Standard Edition弱加密算法漏洞、IBM Cloud Pak for Security信息泄露漏洞（CNVD-2020-68252）、IBM Cloud Pak for Security弱加密算法漏洞、Maxmind Libmaxminddb缓冲区溢出漏洞、IBM Cognos Controller权限提升漏洞、IBM DB2任意代码执行漏洞。其中，“IBM Spectrum Protect Plus硬编码凭据漏洞、IBM DB2任意代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Network Watcher Agent virtual machine extension forLinux是美国微软（Microsoft）公司的一款Linux的虚拟机网络监控插件。Microsoft Visual StudioCode是美国微软（Microsoft）公司的一款开源的代码编辑器。Microsoft Windows rdp是美国微软（Microsoft）公司的一款用于连接远程Windows桌面的应用。Microsoft Windows是美国微软（Microsoft）公司的一种桌面操作系统。Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞使用提升的特权执行代码，导致目标系统上的RDP服务停止响应等。

CNVD收录的相关漏洞包括：Microsoft Network WatcherAgent virtual machine extension for Linux访问控制错误漏洞、Microsoft Visual Studio Code远程代码执行漏洞 、Microsoft Windows rdp拒绝服务漏洞、Microsoft Windows内核权限提升漏洞、Microsoft Windows远程桌面服务拒绝服务漏洞、Microsoft Excel远程代码执行漏洞（CNVD-2020-68843、CNVD-2020-68842、CNVD-2020-68841）。其中，除“Microsoft Excel远程代码执行漏洞（CNVD-2020-68843、CNVD-2020-68842、CNVD-2020-68841）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Chrome是由Google开发的一款设计简单、高效的Web浏览工具，其特点是简洁、快速。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Google Go Cmd/go是美国谷歌（Google）公司的一个为Go语言提供命令支持的代码库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致应用程序崩溃等。

CNVD收录的相关漏洞包括：Google Chrome堆缓冲区溢出漏洞（CNVD-2020-68850、CNVD-2020-68851）、Google Chrome释放后重用漏洞（CNVD-2020-68853、CNVD-2020-68852）、Google Android缓冲区溢出漏洞（CNVD-2020-68856、CNVD-2020-68857）、Google Android权限提升漏洞（CNVD-2020-68855）、Google Go Cmd/go代码执行漏洞。其中，“Google Android缓冲区溢出漏洞（CNVD-2020-68856、CNVD-2020-68857）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Intel产品安全漏洞

Intel Thunderbolt DCH drivers是美国因特尔（Intel）公司的一个用于 Windows 的驱动程序。Intel Quartus Prime Pro是美国英特尔（Intel）公司的一套多平台设计环境。Intel Active ManagementTechnology（AMT）是美国英特尔（Intel）公司的一套以硬件为基础的计算机远程主动管理技术软件。Intel Core Processors是美国英特尔（Intel）公司的一款Intel Core系列中央处理器（CPU）。Intel Microprocessors是美国英特尔（Intel）公司的微处理器（CPU）产品。Intel Server Board是美国英特尔（Intel）公司的一款服务器主板。Intel Power Management Controller（Intel PMC）是美国英特尔（Intel）公司的一个用于电源控制的内置程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过本地访问提升权限，潜在地通过本地访问启用特权升级等。

CNVD收录的相关漏洞包括：Intel Thunderbolt DCHdrivers权限提升漏洞、Intel Thunderbolt DCHdrivers缓冲区溢出漏洞、Intel Quartus Prime Pro缓冲区溢出漏洞、Intel AMT和IntelISM缓冲区溢出漏洞、Intel CSME权限提升漏洞、Intel(R) Processors权限提升漏洞、Intel(R) Server Board权限提升漏洞、Intel(R) Processors PMC权限提升漏洞。上述漏洞的综合评级为“中危”。目前，厂商已经发布了上述漏洞的修补程序。

PbootCMS跨站请求伪造漏洞（CNVD-2020-68549）

PbootCMS是翱云科技开发的一款全新内核的开源企业建站系统。PbootCMS 1.3.2存在跨站请求伪造漏洞。攻击者可利用该漏洞更改用户密码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞获取密码、加密密钥等硬编码凭据，创建一个恶意的DLL，然后将其放到IBMDB2的当前目录中，以便执行代码等。此外，Microsoft、Google、Intel等多款产品被披露存在多个漏洞，攻击者可利用漏洞使用提升的特权执行代码，导致应用程序崩溃，通过本地访问提升权限，潜在地通过本地访问启用特权升级等。另外，PbootCMS被披露存在跨站请求伪造漏洞。远程攻击者可利用该漏洞更改用户密码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、工信部、国家密码管理局、北京市经济和信息化局、证券日报、工银融e行、重庆农村商业银行报道

责任编辑：韩希宇