国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞214个，互联网上出现“Online Bus TicketReservation SQL注入漏洞、BloodX SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部通报63款侵害用户权益行为APP

此次检测发现，APP未经用户同意，私自收集设备MAC地址信息；将用户个人信息发送给第三方SDK的问题较多。>>详细

Only HTTPS，来了！

当前，大多数网站已支持HTTPS，但许多网站经常由于以下原因，仍存在使用不安全协议。>>详细

民生x华为，这对CP甜度刚好

民生手机U宝与华为手机U宝是基于华为手机的安全能力构建的可信支付凭据。>>详细

6项网络安全国家标准获批发布

根据2020年12月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第28号），全国信息安全标准化技术委员会归口的6项国家标准正式发布。>>详细

微信支付联合国家反诈中心全面升级反诈功能 腾讯守护者计划用科技防范网络黑产

面对日益严峻的网络诈骗威胁，腾讯守护者计划整合腾讯的黑灰产大数据优势和AI能力，打造智能反诈中枢。>>详细

【国家反诈中心提醒】牢记“三不一多”原则，守住咱家钱袋子

国家反诈中心民警对此总结出了防范小贴士，并提醒大家在日常生活中就要牢记“三不一多”原则（即：未知链接不点击，陌生来电不轻信，个人信息不透露，转账汇款多核实），与警方一起守好钱袋子。>>详细

安全课堂| 如何防盗刷？看这一篇就够了

年末将至，正是消费高峰期，很多不法分子开始蠢蠢欲动，大家在年末一定要注意好用卡安全，保护好自己的财产。>>详细

【知识】教你如何防范升级版诈骗套路！

在转账、汇款时，一定要提高警惕！不要轻信网络汇款截图，钱未到账就催促你代为转账的一律为诈骗。>>详细

安全威胁播报

上周漏洞基本情况

上周（12月14日-20日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞214个，其中高危漏洞80个、中危漏洞125个、低危漏洞9个。漏洞平均分值为5.92。上周收录的漏洞中，涉及0day漏洞143个（占67%），其中互联网上出现“Online Bus TicketReservation SQL注入漏洞、BloodX SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升本地权限获取敏感信息，造成拒绝服务等。

CNVD收录的相关漏洞包括：Google Android信息泄露漏洞（CNVD-2020-72490）、Google Android权限提升漏洞（CNVD-2020-72489、CNVD-2020-72491、CNVD-2020-72494）、Google Android MediaFramework信息泄露漏洞（CNVD-2020-72488）、Google Android拒绝服务漏洞（CNVD-2020-72493、CNVD-2020-72492）、Google Android System权限提升漏洞（CNVD-2020-72495）。其中，“Google Android拒绝服务漏洞（CNVD-2020-72493）、Google Android System权限提升漏洞（CNVD-2020-72495）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Outlook是美国微软（Microsoft）公司的一套电子邮件应用程序。Microsoft ChakraCore和MicrosoftEdge都是美国微软（Microsoft）公司的产品。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Codecs Library是其中的一个音频、视频文件编解码器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统用户的上下文中运行任意代码，破坏内存，控制受影响的系统等。

CNVD收录的相关漏洞包括：Microsoft Outlook远程代码执行漏洞（CNVD-2020-72694）、Microsoft ChakraCore和Edge远程代码执行漏洞（CNVD-2020-72698）、Microsoft Color Management远程代码执行漏洞、Microsoft ChakraCore远程代码执行漏洞（CNVD-2020-72699、CNVD-2020-72701、CNVD-2020-72700）、Microsoft Windows CodecsLibrary远程代码执行漏洞（CNVD-2020-72695、CNVD-2020-72696）。其中，“Microsoft Outlook远程代码执行漏洞（CNVD-2020-72694）、Microsoft ChakraCore和Edge远程代码执行漏洞（CNVD-2020-72698）、Microsoft Color Management远程代码执行漏洞、Microsoft ChakraCore远程代码执行漏洞（CNVD-2020-72699、CNVD-2020-72701、CNVD-2020-72700）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoIoT Field Network Director（IoT-FND）是美国思科（Cisco）公司的一套端到端的物联网管理系统。Cisco RoomOS Software是美国思科（Cisco）公司的一套用于Cisco设备的自动管理软件。该软件主要用于升级、管理Cisco设备的主板固件。Cisco Security Manager（CSM）是美国思科（Cisco）公司的一套企业级的管理应用，它主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。Cisco IOS XE是美国Cisco公司为其网络设备开发的一套基于Linux内核的模块化操作系统。Cisco FXOS Software是美国思科（Cisco）公司的一套运行在思科安全设备中的防火墙软件。Cisco IoT Field NetworkDirector (FND)是大规模FAN部署的网络管理系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞查看受影响系统上的敏感信息，使用生成的令牌在设备上启用用户不应该使用的实验特性，发送特制API请求利用该漏洞覆盖受影响系统上的文件等。

CNVD收录的相关漏洞包括：Cisco IoT Field NetworkDirector访问控制错误漏洞（CNVD-2020-72728）、Cisco RoomOS Software权限许可和访问控制问题漏洞、Cisco Security Manager输入验证错误漏洞（CNVD-2020-72726）、Cisco IOS XE拒绝服务漏洞（CNVD-2020-72733）、Cisco FXOS安全启动绕过漏洞、Cisco IoT Field Network Director访问控制错误漏洞、Cisco IoT Field Network Director文件覆盖漏洞、Cisco IoT Field Network Director SQL注入漏洞。其中，“Cisco FXOS安全启动绕过漏洞、Cisco IoT Field NetworkDirector SQL注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。NSS是美国Mozilla基金会的一个底层密码学库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致内存破坏和程序崩溃，导致浏览器挂起，获取Thunderbird的用户名和密码等。

CNVD收录的相关漏洞包括：Mozilla Firefox内存破坏漏洞（CNVD-2020-72461、CNVD-2020-72462、CNVD-2020-72720）、Mozilla Firefox拒绝服务漏洞（CNVD-2020-72463）、Mozilla Firefox欺骗漏洞（CNVD-2020-72716）、Mozilla Thunderbird信息泄露漏洞（CNVD-2020-72718）、Mozilla NSS拒绝服务漏洞、Mozilla Firefox内存错误引用漏洞（CNVD-2020-72719），其中，“Mozilla Firefox内存破坏漏洞（CNVD-2020-72461、CNVD-2020-72462）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

OpenTSDB命令注入漏洞

OpenTSDB是一个基于Hbase的分布式、可扩展的时间序列数据库(TSDB)。OpenTSDB2.4.0及更早版本存在命令执行漏洞。攻击者可通过yrange参数注入命令利用该漏洞实现远程代码执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞提升本地权限获取敏感信息，造成拒绝服务等。此外，Microsoft、Cisco、Mozilla等多款产品被披露存在多个漏洞，攻击者可利用漏洞在系统用户的上下文中运行任意代码，破坏内存，控制受影响的系统等。另外，OpenTSDB被披露存在命令注入漏洞。攻击者可利用漏洞实现远程代码执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信微报、信安标委、民生银行手机银行、连赢管家、银联江西、公安部刑侦局报道

责任编辑：韩希宇