国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞365个，互联网上出现“CentOS Web Panel SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

科技司李伟：做好金融业标准化“十四五”发展规划 助力现代金融体系建设

截至2020年2月，现行有效的金融国家标准65项、金融行业标准257项，在全国团体标准信息平台公开金融团体标准22项。>>详细

【中国人民银行太原中心支行副行长 王山松】个人金融信息安全技防研究

本文通过梳理个人金融信息安全保护现状，研究当前主流的隐私保护技术，并从法律、技术、内控等多角度、多层次提出加强个人金融信息保护的政策建议。>>详细

3·15金融消费权益保护⑧ | 不要被虚拟货币交易平台骗了

你以为可以通过虚拟货币赚大钱，殊不知平台惦记的却是你的本金。>>详细

3·15金融消费权益保护⑨ |警惕“跑分”陷阱

“跑分”是指非法网络平台利用高额收益为诱饵，诱导群众充值保证金获取相应积分。>>详细

手机App确实在偷听你谈话，方法死都想不到

偷听这个词不太好听，不如换种说法——大数据。>>详细

大数据展现防疫“硬实力” 技术应用提速还需重视数据安全

大数据是抗击疫情、助力企业复工复产的有力技术手段，此次疫情也将推动更多企业加快数字化转型，但在保护隐私方面，大数据的运用仍有改进空间，数据搜集和数据共享的安全问题不容忽视。>>详细

网络黑产的下一个目标：摄像头泄露多少隐私？

针对云端，一些摄像头的数据会传至云端，黑客则通过渗透WEB访问界面的子域名，进行信息窃取。>>详细

Windows 10再曝严重漏洞，攻击进行中，无补丁可用

微软发出警告称发现针对Windows用户的“有限的定向攻击”，攻击者可以利用Adobe Type Manager库中未修补的漏洞，远程执行包括恶意软件在内的代码。>>详细

安全威胁播报

上周漏洞基本情况

上周（3月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞365个，其中高危漏洞103个、中危漏洞172个、低危漏洞90个。漏洞平均分值为5.49。上周收录的漏洞中，涉及0day漏洞112个（占30%），其中互联网上出现“CentOS Web Panel SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。IIS Server是其中的一个IIS（互联网信息服务）服务器。Windows Graphics Device Interface（GDI）是其中的一个图形设备接口。Defender Security Center是其中的一个计算机安全防护组件。Windows Installer是其中的一个基于Windows系统中的工具组件，主要用于管理和配置软件服务。Microsoft Word是一套Office套件中的文字处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，获取敏感信息等。

CNVD收录的相关漏洞包括：Microsoft IIS服务器篡改漏洞、Microsoft Windows GDI信息泄漏漏洞（CNVD-2020-18166）、Microsoft Windows DefenderSecurity Center提权漏洞（CNVD-2020-18167、CNVD-2020-18165）、Microsoft WindowsInstaller提权漏洞（CNVD-2020-18389、CNVD-2020-18388）、Microsoft Windows GraphicsDevice Interface信息泄露漏洞（CNVD-2020-18394）、Microsoft Word远程代码执行漏洞（CNVD-2020-18523）。其中 “Microsoft IIS服务器篡改漏洞、Microsoft Windows Graphics Device Interface信息泄露漏洞（CNVD-2020-18394）、Microsoft Word远程代码执行漏洞（CNVD-2020-18523）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Intel产品安全漏洞

8thGeneration Intel Core Processor和7th Generation Intel CoreProcessor都是美国英特尔（Intel）公司的产品。8th Generation Intel Core Processor是一款第八代Core系列中央处理器（CPU）。7th Generation Intel Core Processor是一款第七代Core系列中央处理器（CPU）。Intel 6th Generation Core Processors是第六代Core（酷睿）系列中央处理器（CPU）产品。Intel Converged Security and Management Engine是一款安全管理引擎。Intel Server Platform Services是一款服务器平台服务程序。Kernel subsystem是其中的一个内核子系统。Intel TXE是一款使用在CPU（中央处理器）中具有硬件验证功能的信任执行引擎。Intel Core Processors是一款Intel Core系列中央处理器（CPU）。Intel Xeon Processors是一款Intel Xeon系列中央处理器（CPU）。Intel Trusted Execution Technology（TXT）是其中的一个可信执行技术组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码或导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：Intel 8th Generation IntelCore Processor和7th Generation Intel Core Processor权限许可和访问控制问题漏洞（CNVD-2020-18568、CNVD-2020-18567）、Intel Converged Security and Management Engine和Intel Server Platform Services Kernel subsystem授权问题漏洞、Intel TXE和Intel Converged Securityand Management Engine代码注入漏洞、Intel TXE和Intel Converged Security and Management Engine权限许可和访问控制问题漏洞、Intel Converged Security and Management Engine缓冲区溢出漏洞、Intel 6th Generation Core Processors及后系列缓冲区溢出漏洞（CNVD-2020-18605）、Intel Core Processors和IntelXeon Processors Intel TXT缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Bluetooth是其中的一个蓝牙组件。System是其中的一个系统组件。Netlink driver是其中的一个Netlink通信驱动程序。Framework是其中的一个Android框架组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限。

CNVD收录的相关漏洞包括：Google Android System越界读取漏洞（CNVD-2020-17463、CNVD-2020-17464）、Google Android Netlink driver越界写入漏洞、Google Android缓冲区溢出漏洞（CNVD-2020-17484）、Google Android Framework权限提升漏洞（CNVD-2020-17499、CNVD-2020-17501）、Google Android Bluetooth缓冲区溢出漏洞（CNVD-2020-17377、CNVD-2020-17501）。其中“Google Android Netlink driver越界写入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Photoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop缓冲区溢出漏洞（CNVD-2020-17966、CNVD-2020-17975、CNVD-2020-17967、CNVD-2020-17976、CNVD-2020-17977、CNVD-2020-17978）、Adobe Photoshop越界写入漏洞（CNVD-C-2020-51496、CNVD-2020-17973）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adaware antivirus权限提升漏洞

Lavasoft Adaware antivirus是加拿大Lavasoft公司的一套杀毒软件。上周，Lavasoft Adaware antivirus被披露存在权限提升漏洞。远程攻击者可借助恶意的DLL利用该漏洞提升权限。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，获取敏感信息等。此外Intel、Google、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，导致缓冲区溢出或堆溢出等。另外，Lavasoft Adaware antivirus被披露存在权限提升漏洞。远程攻击者可借助恶意的DLL利用该漏洞提升权限。

中国电子银行网综合CNVD、央行、金融电子化、当代金融家、金融时报、21世纪经济报道、IT之家、安全牛报道

责任编辑：韩希宇