信息安全周报|新版网银系统信息安全规范发布银联支付终端安全规范增刷脸支付要求

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞609个，互联网上出现“CHIYU BF430 TCP IP Converter跨站脚本漏洞、nopCommerce跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【全国金融标准化技术委员会副主任委员李伟】扎实开展“领跑者”活动践行为民利企

鼓励金融企业主动落实创新管理责任，进行企业标准自我声明公开，秉持守正创新、安全可控、普惠民生、开放共赢的发展理念。>>详细

新版《网上银行系统信息安全通用规范》发布了！

2020年2月，中国人民银行下发《关于<网上银行系统信息安全通用规范>行业标准的通知》（银发[2020]35号）。>>详细

银联支付终端安全规范3.0实施新增刷脸支付相关要求

UPTS 3.0管辖范围相当广泛，适用于所有接入银联网络、受理银联卡支付交易的终端设备。在基础卷中主要新增了刷脸付终端的相关要求。>>详细

央行发布《个人金融信息保护技术规范》无资质不得收集KYC等信息

《规范》规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，从安全技术和安全管理两个方面，对个人金融信息保护提出了规范性要求。>>详细

保安全促生产！“零接触”数字证书办理平台无休坚守

数字证书在线办理平台是面向最终用户，提供线上证书业务办理的一站式互联网服务平台，具备业务资料填报、信息审核，费用支付、发票开具、快递邮寄、进度查询等全流程线上服务功能。>>详细

工信部：做好疫情防控期间信息通信行业网络安全保障工作

切实做好疫情防控和经济社会运行的网络安全支撑保障工作，确保疫情防控期间网络基础设施安全，防止发生重大网络安全事件。>>详细

一波在线操作解燃眉之急企业防疫办公两不误（二）

哪些常见场景可以轻松应用“云办公”模式？效率有了，安全跟上来了吗？可不可靠？是否合法可信？>>详细

发改委：积极应对疫情创新做好招投标工作保障经济平稳运行

相关单位要加快推进CA数字证书网络共享，运用手机扫码等技术实现免插介质完成身份验证、签名盖章、加密解密等交易流程。>>详细

【反欺诈】全民战“疫”，常见欺诈套路需警惕！

中国支付清算协会反欺诈实验室梳理了几类常见的欺诈套路及其防范措施，提醒大家注意风险，谨防上当受骗。>>详细

支付宝回应人脸识别“被骗”：极小概率事件，升级后可防可控

双重密码保护机制的意思是，只有在输入过支付宝登录密码和支付密码的手机上，才能使用刷脸支付。>>详细

安全威胁播报

上周漏洞基本情况

上周（2020年2月10日-16日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞609个，其中高危漏洞247个、中危漏洞300个、低危漏洞62个。漏洞平均分值为6.34。上周收录的漏洞中，涉及0day漏洞155个（占25%），其中互联网上出现“CHIYU BF430 TCP IP Converter跨站脚本漏洞、nopCommerce跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe FrameMaker是一款页面排版软件。上周，上述产品被披露存在越界写入漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe FrameMaker越界写入漏洞（CNVD-2020-08146、CNVD-2020-08147、CNVD-2020-08148、CNVD-2020-08151、CNVD-2020-08149、CNVD-2020-08150、CNVD-2020-08152、CNVD-2020-08153）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMDB2是一套关系型数据库管理系统。IBM Security DirectoryServer是一套使用了轻量级目录访问协议（LDAP）的企业身份管理软件。IBM WebSphere Application Server Liberty是一款构建于Open Liberty项目之上的Java应用程序服务器。IBM Planning Analytics是一套业务规划分析解决方案。IBM Security Access Manager Appliance是一款基于网络设备的安全解决方案。IBM Security Secret Server是美国IBM公司的一套特权访问管理解决方案。IBM Security IdentityManager是一套身份管理和治理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，执行任意代码，进行拒绝服务攻击等。

CNVD收录的相关漏洞包括：IBM DB2 High PerformanceUnload load for LUW代码问题漏洞、IBM Security DirectoryServer安全限制绕过漏洞、IBM Security DirectoryServer信息泄露漏洞（CNVD-2020-04412）、IBM WebSphere Application Server信息泄露漏洞、IBM Planning Analytics跨站请求伪造漏洞、IBM Security Access Manager Appliance XXE注入漏洞、IBM Security Secret跨站脚本漏洞、IBM Security Identity Manager目录遍历漏洞（CNVD-2020-04920）。其中，“IBM DB2 High PerformanceUnload load for LUW代码问题漏洞、IBM Security DirectoryServer安全限制绕过漏洞、IBM Planning Analytics跨站请求伪造漏洞、IBM Security Access Manager Appliance XXE注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftWindows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft .NET Framework是编程模型，也是一个用于构建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的应用程序的开发平台。Microsoft Windows Remote Desktop Gateway是一款基于Windows的远程桌面网关。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Windows RemoteDesktop Gateway远程代码执行漏洞、Microsoft Edge脚本引擎内存破坏漏洞（CNVD-2020-08118）、Microsoft Windows远程代码执行漏洞（CNVD-2020-08130）、Microsoft .NET Framework远程执行代码漏洞（CNVD-2020-08131、CNVD-2020-08132）、Microsoft Windows Common Log File System Driver提权漏洞、Microsoft Windows Media Service提权漏洞、Microsoft ChakraCore和Edge内存破坏漏洞（CNVD-2020-08134）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Intel产品安全漏洞

Intel NUC Kit NUC7i5DNKE是一款迷你主机产品。Intel NUC 8 Mainstream Game Kit是一款小型台式电脑。Intel NUC 8 Mainstream Game Mini Computer是一款小型台式电脑。Intel PROSet/Wireless WiFi Software是一款无线网卡驱动程序。Intel Baseboard Management Controller（BMC）是一款基板管理控制器。Intel Renesas ElectronicsUSB是USB 3 Renesas Electronics适配器的驱动程序，该适配器位于许多常见的Intel主板中。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：Intel NUC访问控制错误漏洞、Intel NUC输入验证错误漏洞、Intel NUC缓冲区限制错误漏洞、Intel NUC越界写入漏洞、Intel NUC整数溢出漏洞、Intel PROSet/Wireless WiFiSoftware缓冲区溢出漏洞、Intel Baseboard ManagementController授权问题漏洞、Intel Renesas ElectronicsUSB权限提漏洞。其中，“Intel Baseboard ManagementController授权问题漏洞、Intel Renesas ElectronicsUSB权限提漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Red Hat Keycloak跨站脚本漏洞

Red Hat Keycloak是一套为现代应用和服务提供身份验证和管理功能的软件。上周，Red Hat Keycloak被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在越界写入漏洞，攻击者可利用漏洞执行任意代码。此外，IBM、Microsoft、Intel等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，执行任意代码，导致缓冲区溢出或堆溢出等。另外，Red Hat Keycloak被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部网站、发改委网站、中国支付清算协会、21世纪经济报道、金融电子化、移动支付网报道