国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞308个，互联网上出现“Veeam ONE Reporter跨站脚本漏洞、GetSimple CMS远程代码执行漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

三原则六措施，银行业可以这样加强权限安全管理

银行因业务复杂，往往分工繁复和多元，权限管理是重中之重，收拢权限、加强访问控制才能保证系统数据不会被随意访问，个人信息不会被随意泄露。>>详细

关于开展国家标准《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》征求意见工作的通知

为落实《网络安全法》对个人信息保护的相关要求，加快相应标准化工作，全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 移动互联网应用（App）收集个人信息基本规范（草案）》。>>详细

中国人民银行上海总部召开金融行业IPv6规模部署推进会

《指南》对金融行业相关单位开展IPv6部署工作提出了基本思路和遵循原则，为金融行业相关单位加快基于IPv6的新一代高效、安全、泛在信息通信基础设施建设提供指引。>>详细

身份证迷案调查：史上最大罚单揭开支付业“黑灰产”冰山一角

由于灰色业务收入远远超过违法成本，部分支付企业违规现象屡禁不绝。为非法交易提供资金通道，已经成为这些支付企业被监管处罚的主要原因。>>详细

100万张支付卡信息在黑市求售 韩国成亚太地区盗刷之最

这些支付卡信息可能有两种外洩管道，一是拥有许多业务的母公司遭到入侵，影响大量的端点销售系统（POS），二则是POS整合商遭到入侵，导致采用该服务的众多品牌都受害。>>详细

腾讯守护者计划公益行动在京启动 用科技防范新型电信网络诈骗

2019年以来，全国公安机关共抓获犯罪嫌疑人5.1万名，破获案件5.8万起，同比分别上升32.3%和3.0%，为群众避免经济损失135亿元。>>详细

1亿银行用户信息失窃之谜：黑客是怎么找到漏洞的？

这是史上规模最大的银行数据失窃案之一，成功取得这一“成就”的女子似乎利用了云系统中的一个漏洞。对于这个漏洞，安全专家们已经警告了多年。>>详细

邮政编码或由个人地址ID取代 网友:隐私安全如何保证

70后、80后纷纷开始“奔五”“奔四”，信封变成了红包，邮票成为了投资，而那一串邮编，已经在记忆中渐行渐远，邮政编码也成了逐渐消失的记忆。>>详细

WhatsApp曝重大安全漏洞 允许黑客篡改用户聊天信息

在Facebook旗下流行的消息应用WhatsApp中发现严重安全漏洞，允许黑客操控用户的聊天消息，无论是在公共对话模式下，还是私密对话。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年7月29日-8月4日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞308个，其中高危漏洞82个、中危漏洞200个、低危漏洞26个。漏洞平均分值为5.81。上周收录的漏洞中，涉及0day漏洞41个（占13%），其中互联网上出现“Veeam ONE Reporter跨站脚本漏洞、GetSimple CMS远程代码执行漏洞”等零日代码攻击漏洞。   

上周重要漏洞安全告警

Microsoft产品安全漏洞

MicrosoftEdge是微软新的浏览器，从EdgeHTML内核迁移为Chromium内核，同时还会登陆到Windows 7/8/8.1和macOS平台。Internet Explorer是微软公司推出的一款网页浏览器。上周，上述产品被披露存在远程内存破坏漏洞，攻击者可利用漏洞执行任意代码，发起拒绝服务攻击。

CNVD收录的相关漏洞包括：Microsoft InternetExplorer Scripting Engine远程内存破坏漏洞（CNVD-2019-24756、CNVD-2019-24757）、Microsoft Edge ChakraScripting Engine远程内存破坏漏洞（CNVD-2019-24840、CNVD-2019-24841、CNVD-2019-24842、CNVD-2019-24843、CNVD-2019-24844、CNVD-2019-24850）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。上周，该产品被披露存在越界读取漏洞，攻击者可利用漏洞获取敏感信息。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader越界读取漏洞（CNVD-2019-24805、CNVD-2019-24806、CNVD-2019-24807、CNVD-2019-24808、CNVD-2019-24809、CNVD-2019-24810、CNVD-2019-24812、CNVD-2019-24811）。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Cloud Private是一套企业私有云解决方案。IBM Security InformationQueue是一款数据集成产品。IBM API Connect（APIConnect）是一套用于管理API生命周期的集成解决方案。IBM Cognos TM1是一套用于规划、预算编制、预测和分析的企业规划软件。该软件可以快速地分析数据、对业务需求建模，并根据计划、预算和预测进行协作。IBM Daeja ViewONE Virtual是一款基于HTML5的文档和图像查看器。IBM Security IdentityManager（ISIM）是一套身份管理和治理解决方案。IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。IBM Spectrum Control（前称Tivoli Storage Productivity Center）是一套存储资源管理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，上传恶意文件，执行任意代码等。

CNVD收录的相关漏洞包括：IBM Cloud PrivateKubernetes API server输入验证错误漏洞、IBM Security InformationQueue输入验证错误漏洞、IBM API Connect信息泄露漏洞（CNVD-2019-25511）、IBM Cognos TM1任意代码执行漏洞、IBM Daeja ViewONE Virtual信息泄露漏洞、IBM Security Identity Manager信息泄露漏洞（CNVD-2019-25734）、IBM Maximo AssetManagement文件上传漏洞、IBM Spectrum Control信息泄露漏洞。其中，“IBM Cognos TM1任意代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

HPE产品安全漏洞

HPE Intelligent Management Center是一套网络智能管理中心解决方案。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：HPE Intelligent ManagementCenter远程代码执行漏洞（CNVD-2019-24781、CNVD-2019-24782、CNVD-2019-24785、CNVD-2019-24783、CNVD-2019-24786、CNVD-2019-24787、CNVD-2019-24788、CNVD-2019-24789）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR WNDR3400v3栈缓冲区溢出漏洞

NETGEAR WNDR3400v3是美国网件（NETGEAR）公司的一款无线路由器。上周，NETGEAR WNDR3400v3被披露存在栈缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

小结

上周，Microsoft被披露存在远程内存破坏漏洞，攻击者可利用漏洞执行任意代码，发起拒绝服务攻击。此外，Adobe、IBM、HPE等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，上传恶意文件，执行任意代码等。NETGEAR WNDR3400v3被披露存在栈缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、人民银行上海总部、全国信息安全标准化技术委员会、第一财经、每日经济新闻、腾讯科技、凤凰网科技、Ithome报道

责任编辑：韩希宇