国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞716个，互联网上出现“QEMU OS命令注入漏洞、Wordpress EZ-done File Manager远程文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

监管出手整治 APP收集个人信息需规范合规

获证App可以在应用市场、搜索引擎使用认证标志，并获得优先推荐，向消费者和用户传递安全信任，引导网民在下载同类App时优先选择获证App。>>详细

中国银联加入PCI安全标准委员会战略会员

这将助力提升全球支付安全标准的一致性，推动支付产业共同应对新兴威胁，以更好地保护全球消费者、金融机构和商户的支付安全。>>详细

世界互联网大会组委会发布《携手构建网络空间命运共同体行动倡议》

加强个人信息保护和数据安全管理。规范个人信息收集、存储、使用、加工、传输、提供、公开等行为，保障个人信息安全，开展数据安全和个人信息保护及相关规则、标准的国际交流合作，推动符合《联合国宪章》宗旨的个人信息保护规则标准国际互认。>>详细

后“双11”时代，个人信息泄露高峰乍现

近年来，随着网络购物、直播带货越来越流行以及消费场景的不断变化，网络购物带给我们便利的同时，问题也随之涌现。>>详细

违规采集、留存、泄露客户数据待刹车！互金协会呼吁《数据安全法》等法律法规尽快出台

金融业作为数据密集型和科技驱动型行业，如何平衡好数据要素融合应用和安全保护，充分发挥金融业数据要素的经济社会价值，已经成为一项重要而紧迫的课题。>>详细

银行防范个人自助设备开卡洗钱风险

银行使用自助设备为个人客户开卡的洗钱风险，主要存在于冒名开户，当不法分子利用自助设备进行个人开户时，因远程审核人员无法看到客户签名完整过程，自然存在冒名签字风险，银行当然就无法有效识别开户人本人签字的真实性。>>详细

央行、公安部严打对公账户违法犯罪

近期，央行及公安部门严打围绕对公账户的违法犯罪行为，并已经有多个案件出现。>>详细

金融也能直播“带货”？小心有风险！

有些关于金融直播“带货”行为存在着风险隐患，需要引起消费者的关注。>>详细

关于35款App存在个人信息收集使用问题的通告

App违法违规收集使用个人信息治理工作组评估发现，35款App存在个人信息收集使用问题，建议相关App运营者及时对存在的问题进行整改。>>详细

安全威胁播报

上周漏洞基本情况

上周（11月9日-15日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞716个，其中高危漏洞247个、中危漏洞390个、低危漏洞79个。漏洞平均分值为6.00。上周收录的漏洞中，涉及0day漏洞471个（占66%），其中互联网上出现“QEMU OS命令注入漏洞、Wordpress EZ-done File Manager远程文件上传漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Microsoft产品安全漏洞

Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft Excel是一款Office套件中的电子表格处理软件。Microsoft .NET Framework是一种全面且一致的编程模型，也是一个用于构建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的应用程序的开发平台。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Edge PDF Reader远程代码执行漏洞（CNVD-2020-61586、CNVD-2020-61593）、Microsoft Edge远程代码执行漏洞（CNVD-2020-61587）、Microsoft Internet Explorer VBScript远程代码执行漏洞（CNVD-2020-61605）、Microsoft Excel远程代码执行漏洞（CNVD-2020-62335、CNVD-2020-62338）、Microsoft .NET Framework远程代码执行漏洞（CNVD-2020-62333、CNVD-2020-62340）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行堆破坏等。

CNVD收录的相关漏洞包括：Google Chrome信息泄漏漏洞（CNVD-2020-61091）、Google Chrome安全绕过漏洞（CNVD-2020-61101）、Google Chrome资源管理错误漏洞（CNVD-2020-62477、CNVD-2020-62476、CNVD-2020-62475、CNVD-2020-62480、CNVD-2020-62479）、Google Chrome缓冲区溢出漏洞（CNVD-2020-62478）。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoIOS XR是美国思科（Cisco）公司的一套为其网络设备开发的操作系统。Cisco SD-WAN vEdge是是一款路由器。Cisco IP Phone 8800 Series是一款8800系列的IP电话。Cisco Identity Services Engine (ISE)是下一代身份和访问控制策略平台，使企业能够执行合规性、增强基础架构安全性并简化其服务操作。Cisco SD-WAN Solution是Cisco的一套网络扩展解决方案，vManage是其中的控制台。Cisco Video Surveillance 8000 Series IP Cameras是一款视频监控摄像头。Cisco FXOS Software是一套运行在思科安全设备中的防火墙软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过限制，提升特权，进行跨站点请求伪造(CSRF)攻击，执行命令等。

CNVD收录的相关漏洞包括：Cisco IOS XR -bit PrebooteXecution Environment访问控制错误漏洞、Cisco SD-WAN vEdge访问控制错误漏洞、Cisco IP Phone TCP报文拒绝服务漏洞、Cisco Identity Services Engine权限提升漏洞、Cisco SD-WAN vManage命令注入漏洞（CNVD-2020-61949）、Cisco Video Surveillance8000 Series IP Cameras资源管理错误漏洞、Cisco FXOS命令执行漏洞、Cisco FXOS跨站请求伪造漏洞。其中，“Cisco IOS XR -bit PrebooteXecution Environment访问控制错误漏洞、Cisco IP Phone TCP报文拒绝服务漏洞、Cisco FXOS命令执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Process Integration是SAP的企业应用程序集成（EAI）软件，用于在公司中的SAP与非SAP应用程序之间或与公司外部的系统之间进行无缝集成。SAP Commerce Cloud是面向B2B、B2C和B2B2C公司的云原生全渠道商务解决方案。SAP Netweaver是一套面向服务的集成化应用平台。SAP Solution Manager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。SAP Business Objects Business Intelligence Platform是一套商业智能软件和企业绩效解决方案套件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：SAP Process Integration信息泄露漏洞、SAP Commerce Cloud信息泄露漏洞、SAP Commerce Cloud服务器端请求伪造漏洞、SAP Commerce Cloud拒绝服务漏洞、SAP NetWeaver输入验证错误漏洞、SAP Solution Manager未授权访问漏洞、SAP Solution Manager内存破坏漏洞、SAP Business Objects Business Intelligence Platform访问控制错误漏洞（CNVD-2020-62944）。其中，“SAP Commerce Cloud拒绝服务漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

QNAP Systems TS-870跨站脚本漏洞（CNVD-2020-62488）

QNAP Systems TS-870是一款NAS（网络附属存储）设备。上周，QNAP Systems TS-870被披露存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。此外，Google、Cisco、SAP等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，，提升特权，获取敏感信息，进行跨站点请求伪造(CSRF)攻击，执行命令等。另外，QNAPSystems TS-870被披露存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经日报、财联社、移动支付网、中国银联、App个人信息举报、河北银行彩虹Bank、世界互联网大会组委会报道

责任编辑：韩希宇