國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞153個，互聯網上出現“WordPressTemplateOne Themes Dubicars DatabaseBackup信息泄露漏洞、Budabot拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　《電信和互聯網用戶個人信息保護白皮書》發布

　　白皮書詳細闡述了電信和互聯網用戶個人信息保護的內涵，深入分析了國外用戶個人信息保護形勢，系統梳理了我國用戶個人信息保護的現狀，深刻剖析了典型問題與特征，展望用戶個人信息保護趨勢。>>詳細

　　深圳人行率先成立互聯網金融風險專業應對隊伍

　　互聯網金融風險專項整治工作開展以來，依托于專項整治行動中形成的央地聯動、縱橫交互的工作機制，深圳人行加強與各部門協作，建立了‘金融+政府’、‘金融+公安’、‘金融+工商’等跨部門聯動機制。>>詳細

　　我國SM2/3/9密碼算法正式成為ISO/IEC國際標準

　　2018年10月，含有我國SM3雜湊密碼算法的ISO/IEC10118-3:2018《信息安全技術雜湊函數第3部分:專用雜湊函數》最新一版(第4版)由國際標準化組織(ISO)發布，SM3算法正式成為國際標準。>>詳細

　　CFCA馬關爾：新金融趨勢下 建立金融服務可信環境的探索

　　以ABCD（人工智能、區塊鏈、云計算、大數據）為代表的領先技術不斷助推金融業務的創新，與此同時也帶來了新的問題。馬關爾認為，由新技術引發的新產品和新運營模式，給監管者、貨幣政策制定者和金融企業帶來新挑戰和新考驗，金融科技的發展加速了金融網絡安全形勢的變化。>>詳細

　　網上諜影：境外間諜情報機關通過互聯網竊取機密

　　在互聯網技術高度發達和廣泛應用的今天，網絡與國家安全息息相關，沒有網絡安全，就沒有國家安全。而在現實中，互聯網這個看不見的戰場并不平靜，境外間諜情報機關通過各種手段竊取我國家機密，危害我國家安全的事件時有發生。>>詳細

　　明年全面推廣電子客票 憑身份證就可以坐火車

　　即便沒帶身份證也沒關系，在刷臉快速通道，通過“人臉識別”機器，乘客也可以直接進站乘車。據悉，目前北京、上海、廣州、深圳、杭州、武漢等絕大多數一線、二線城市都已經支持刷臉進站快速服務。>>詳細

　　揭秘來自第三方合作伙伴的威脅類型及防御建議

　　由于第三方供應商管理的網站存在配置錯誤，導致美國銀行信用卡發行商TCM Bank在2017年3月初-2018年7月中旬之間暴露了大量信用卡申請人數據（包含姓名、地址、出生日期、社會安全號碼）。>>詳細

　　技術觀瀾

　　滲透技巧——Windows系統文件執行記錄的獲取與清除

　　站在滲透的角度，當獲得了一臺Windows主機的權限后，需要全面了解這臺Windows主機的信息，文件執行記錄是重要的部分。而站在防御的角度，文件執行記錄包含系統的重要信息，對其進行針對性的清除很有必要。>>詳細

　　一波盜取俄羅斯用戶銀行卡資金的定向攻擊樣本分析

　　一旦用戶通過拷貝的方式輸入目標銀行賬號，則會把錢轉向攻擊者賬戶。并且木馬程序還會下載一個俄羅斯著名的yandex.ru門戶網站提供的鍵盤管理工具Punto Switcher 3.1，以用于竊取用戶的鍵盤記錄，借以躲避殺毒軟件的查殺。>>詳細

　　設計一個簡單的iOS架構

　　正如“100個讀者就有100個哈姆雷特”一樣，對于架構的理解不同的軟件工程師有不同的看法。架構設計往往是一個權衡的過程，每一個架構設計者都要考慮到各個因素，比如團隊成員的技術水平、具體的業務場景、項目的成長階段和開發周期。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年11月19日-2018年11月25日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞153個，其中高危漏洞61個、中危漏洞82個、低危漏洞10個。漏洞平均分值為6.27。上周收錄的漏洞中，涉及0day漏洞38個（占25%），其中互聯網上出現“WordPressTemplateOne Themes Dubicars DatabaseBackup信息泄露漏洞、Budabot拒絕服務漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　IBM產品安全漏洞

　　IBM API Connect（又名APIConnect）是一套用于管理API生命周期的集成解決方案。IBM WebSphere MQ是一款消息傳遞中間件產品。IBM WebSphere Portal是構建和管理Web門戶的企業軟件。其提供對Web內容和應用程序的訪問，同時為用戶提供個性化體驗。IBM Rational Engineering Lifecycle Manager可視化、分析及組織工程生命周期數據和數據關系。IBM Security Key Lifecycle Manager使加密密鑰管理流程集中化、簡化和自動化，幫助最大限度降低加密密鑰管理的風險和運營成本。IBM OpenPages GRC Platform是一套用于管理企業風險和合規性的平臺。IBM Cloud Private是一套企業私有云解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行惡意的命令，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：IBM API Connect CSV注入漏洞、IBM WebSphere MQ拒絕服務漏洞（CNVD-2018-23884）、IBM WebSphere Portal開放重定向漏洞（CNVD-2018-23906）、IBM Rational EngineeringLifecycle Manager XML外部實體注入漏洞、IBM Security Key LifecycleManager 認證缺失漏洞、IBM Security Key LifecycleManager 不當認證漏洞、IBM OpenPages GRC Platform信息泄露漏洞（CNVD-2018-23915）、IBM Cloud Private信息泄露漏洞。其中，除“IBM WebSphere MQ拒絕服務漏洞（CNVD-2018-23884）、IBM OpenPages GRC Platform信息泄露漏洞（CNVD-2018-23915）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Foxit產品安全漏洞

　　Foxit Reader for Windows是一款基于Windows平臺的PDF文檔閱讀器。Foxit PhantomPDF for Windows是它的商業版。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

　　CNVD 收錄的相關漏洞包括：Foxit Reader 和Foxit PhantomPDF for Windows內存錯誤引用漏洞（CNVD-2018-23724、CNVD-2018-23722、CNVD-2018-23723、CNVD-2018-23725、CNVD-2018-23726、CNVD-2018-23727、CNVD-2018-23729、CNVD-2018-23730）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Google Chrome是一款Web瀏覽器。Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux 為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Google Androidwcd_cpe_core 內存錯誤引用漏洞、Google Android MDSS驅動程序拒絕服務漏洞、Google Android Kernel拒絕服務漏洞、Google Chrome GPU拒絕服務漏洞、Google gVisor權限提升漏洞、Google Monorail 跨站點搜索漏洞（CNVD-2018-23925、CNVD-2018-23926、CNVD-2018-23927）。其中，“IBM Rational Quality Manager權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Excel是一款電子表格處理軟件。Microsoft Team FoundationServer是一套應用程序生命周期管理（ALM）工具套件中的源代碼管理、項目管理和團隊協作平臺。Microsoft Outlook是一款Office 套件中所捆綁的電子郵件客戶端軟件。Microsoft Word是一款文字處理軟件。Microsoft Windows 7 SP1是一套個人電腦使用的操作系統。Windows Server 2008 R2 SP1是一套服務器操作系統。Internet Explorer（IE）是其中的一款Windows系統附帶的瀏覽器。Bing Places for Business 是一個Bing門戶網站，讓本地企業主在Bing上為他們的業務添加一個列表。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，破壞內存等。

　　CNVD收錄的相關漏洞包括：Microsoft BingPlaces -TrackEmailOpen (url)開放重定向漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2018-23749）、Microsoft Team Foundation Server跨站腳本漏洞、Microsoft Word遠程代碼執行漏洞（ CNVD-2018-23753）、Microsoft Outlook 信息泄露漏洞（ CNVD-2018-23750 、CNVD-2018-23751）、Microsoft InternetExplorer信息泄露漏洞（CNVD-2018-23919）、Microsoft Internet Explorer遠程內存破壞漏洞（CNVD-2018-23924）。其中，“Microsoft Excel遠程代碼執行漏洞（CNVD-2018-23749）、Microsoft Word遠程代碼執行漏洞（CNVD-2018-23753）、Microsoft Internet Explorer遠程內存破壞漏洞（CNVD-2018-23924）”的綜合評級為“高?！?。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Dell EMC ESRS Policy Manager

　　遠程代碼執行漏洞

　　Dell EMC ESRS是戴爾公司一款安全遠程支持服務程序，Policy Manager可以為客戶端管理的設備設置權限。上周，Dell EMC ESRS PolicyManager被披露存在遠程代碼執行漏洞。攻擊者可利用該漏洞在受影響應用程序中執行任意代碼，失敗的攻擊會造成拒絕服務。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，IBM被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行惡意的命令，發起拒絕服務攻擊等。此外，Foxit、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，破壞內存或發起拒絕服務攻擊等。另外，Dell EMC ESRS Policy Manager被披露存在遠程代碼執行漏洞。攻擊者可利用該漏洞在受影響應用程序中執行任意代碼，失敗的攻擊會造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、央視網、國家密碼管理局、中國信通院、深圳特區報、嘶吼RoarTalk、FreebuF.COM、51CTO、雷鋒網報道

責任編輯：韓希宇