國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞213個，互聯網上出現“DegrauPublicidade e Internet Plataforma de E-commerce SQL注入漏洞、webERPManufacturing組件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　公安部網絡安全保衛局發布《互聯網個人信息安全保護指引（征求意見稿）》（附全文）

　　為深入貫徹落實《網絡安全法》，指導互聯網企業建立健全公民個人信息安全保護管理制度和技術措施，有效防范侵犯公民個人信息違法行為，保障網絡數據安全和公民合法權益，公安機關結合偵辦侵犯公民個人信息網絡犯罪案件和安全監督管理工作中掌握的情況。>>詳細

　　工信部將開展移動惡意程序專項治理工作

　　全行業圍繞電信和互聯網行業網絡安全檢查、國家重大活動網絡安全保障、網絡安全宣傳周、突發事件應急等方面積極開展相關工作。>>詳細

　　CFCA張行：應用公鑰基礎設施 保障金融網絡安全

　　張行從密碼學的原理講述了公鑰基礎設施是如何為用戶解決身份認證、數據傳輸的機密性、交易信息的完整性、業務的法律效力等方面的問題，并強調，只有合法、公正的第三方CA認證才能保證電子簽名的可靠性。>>詳細

　　萬豪2015年曾有機會發現漏洞 黑客在系統中潛伏3年

　　萬豪國際集團表示，在獲悉近幾周內有大量客戶數據被竊取之后，公司很快采取了應對措施。但是網絡安全專家稱，幾年前，萬豪就已經錯失了預防數據泄露的良機。>>詳細

　　微信支付勒索病毒案告破：22歲嫌疑人被抓 事情全過程曝光

　　根據上級公安機關“凈網安網2018”專項行動有關部署，近日，東莞網警在省公安廳網警總隊的統籌指揮，以及騰訊和360公司的大力協助下，24小時內火速偵破“12.05”特大新型勒索病毒破壞計算機信息系統案，抓獲病毒研發制作者1名，繳獲木馬程序和作案工具一批。>>詳細

　　海外版“知乎”Quora 遭黑客入侵 近一億用戶信息泄露

　　12月4日早上，國外知名問答社區 Quora 在其博客上發布安全公告稱，某個系統遭遇第三方入侵，近一億用戶重要信息可能已經泄露。>>詳細

　　美國首個生物識別航站樓開啟 乘客可以“刷臉”登機

　　“刷臉”就可以登機？這不是科幻，而是現實。據美國有線電視新聞網4日報道，亞特蘭大哈茲菲爾德-杰克遜國際機場開啟了全美首個“生物識別航站樓”。>>詳細

　　個人信息保護小常識

　　仔細查看網址，不輕易接收和安裝不明軟件，慎重填寫銀行賬戶和密碼。>>詳細

　　技術觀瀾

　　白話物聯網安全：什么是物聯網的信息安全

　　物聯網就是物物相連的網絡，也就末端物理設備之間因為某種需要進行交換和通信，為了讓他們之間能夠通信，設備本身進行信息傳感，然后依賴于我們現在的互聯網把信息傳遞，最后進行智能識別。>>詳細

　　HASSH : 一種新型網絡指紋識別標準 可用于識別特定的客戶端和服務器SSH

　　實際上，“HASSH”更像是一種新型的網絡指紋識別標準，因為它可以用來識別特定的客戶端或服務器端SSH的實現方式。由于HASSH在存儲指紋時采用的是MD5指紋，這樣就降低了數據存儲、搜索和共享的開銷。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年11月26日-2018年12月02日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞213個，其中高危漏洞45個、中危漏洞159個、低危漏洞9個。漏洞平均分值為5.69。上周收錄的漏洞中，涉及0day漏洞66個（占31%），其中互聯網上出現“DegrauPublicidade e Internet Plataforma de E-commerce SQL注入漏洞、webERPManufacturing組件SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　Google Chrome是一款Web瀏覽器。Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過沙盒，執行任意代碼或發起拒絕服務攻擊。CNVD收錄的相關漏洞包括：Google AndroidBootloader緩沖區溢出漏洞、Google Android debugfs模塊緩沖區溢出漏洞、Google Android Soc Infrastructure緩沖區溢出漏洞、Google Chrome PDFium堆緩沖區溢出漏洞（CNVD-2018-24369）、Google Chrome ANGLE內存破壞漏洞、Google Chrome V8內存錯引用漏洞、Google Chrome V8遠程代碼執行漏洞、Google Chrome AppCache沙盒繞過漏洞。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Linux產品安全漏洞

　　Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Linux kernel'mm/vmacache.c'本地權限提升漏洞、Linux Kernel'fs/proc/base.c'本地信息泄露漏洞、Linux kernel信息泄露漏洞（CNVD-2018-24296）、Linux kernel越界訪問漏洞、Linux kernel內存錯誤引用漏洞（CNVD-2018-24386、CNVD-2018-24384、CNVD-2018-24387）、Linux kernel越界訪問漏洞（CNVD-2018-24385）。其中，“Linux kernel內存錯誤引用漏洞（CNVD-2018-24384）、Linux kernel越界訪問漏洞（CNVD-2018-24385）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Oracle產品安全漏洞

　　Oracle E-Business Suite是在原來Application（ERP）基礎上的擴展，包括ERP（企業資源計劃管理）、HR（人力資源管理）、CRM（客戶關系管理）等等多種管理軟件的集合，是無縫集成的一個管理套件。Oracle FLEXCUBE UniversalBanking是一項實時、在線、全面的全球核心銀行業務方案，涵蓋零售、企業及投資銀行業務。Oracle Banking Payments是一個完整的支付處理解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響機密性、完整性和可用性。

　　CNVD收錄的相關漏洞包括：Oracle E-Business Suite信息泄露漏洞、Oracle FLEXCUBE Universal Banking信息泄露漏洞（CNVD-2018-24134）、Oracle FLEXCUBE UniversalBanking存在未明漏洞（CNVD-2018-24135、CNVD-2018-24136、CNVD-2018-24137）、Oracle FLEXCUBE Universal Banking拒絕服務漏洞（CNVD-2018-24140）、Oracle Banking Payments信息泄露漏洞（CNVD-2018-24143）、Oracle Banking Payments拒絕服務漏洞。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM Spectrum Protect（前稱Tivoli Storage Manager）是一套數據保護平臺，它為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Spectrum ProtectClient是它的客戶端程序。Spectrum Protect forVirtual Environments是虛擬環境版本。IBM Maximo AssetManagement是一套綜合性資產生命周期和維護管理解決方案。IBM WebSphere Portal是一套企業門戶軟件。IBM Cloud是一套開放式標準的云平臺。WebSphere Application Server是其中的一款應用服務器產品，它是Java EE和Web服務應用程序的平臺，也是IBM WebSphere軟件平臺的基礎。IBM Rational Engineering Lifecycle Manager是一套工程生命周期管理軟件。IBM Rational Collaborative Lifecycle Management是一套協作化生命周期管理解決方案。Rational Quality Manager（RQM）是一套協作的、基于Web的質量管理解決方案。Jazz Foundation是其中的一個軟件開發協作平臺。IBM Spectrum Symphony是一套用于在共享網格上運行計算和數據密集型分布式應用程序的企業級管理軟件。IBM DB2是一套關系型數據庫管理系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：IBM Spectrum ProtectClient和Spectrum Protect for Virtual Environments拒絕服務漏洞、IBM Maximo Asset Management跨站腳本漏洞（CNVD-2018-24264）、IBM WebSphere Portal跨站腳本漏洞（CNVD-2018-24362）、IBM WebSphere ApplicationServer信息泄露漏洞（CNVD-2018-24363）、IBM Rational Engineering Lifecycle Manager XML外部實體注入漏洞（CNVD-2018-24366）、IBM Jazz Foundation跨站腳本漏洞（CNVD-2018-24367）、IBM Spectrum Symphony信息泄露漏洞、IBM DB2 db2pdcfg緩沖區溢出漏洞。其中，“IBM Rational EngineeringLifecycle Manager XML外部實體注入漏洞（CNVD-2018-24366）、IBM DB2 db2pdcfg緩沖區溢出漏洞”的綜合評級為“高?！?。

　　PbootCMS代碼執行漏洞

　　PbootCMS是一款使用PHP語言開發的開源企業建站內容管理系統（CMS）。上周，PbootCMS被披露存在代碼執行漏洞。遠程攻擊者可利用該漏洞執行代碼。

　　小結

　　上周，Google被披露存在多個漏洞，攻擊者可利用漏洞繞過沙盒，執行任意代碼或發起拒絕服務攻擊。此外，Linux、Oracle、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，發起拒絕服務攻擊等。另外，PbootCMS被披露存在代碼執行漏洞。遠程攻擊者可利用該漏洞執行代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、工信部網站、中國信息安全、新浪科技、新聞晨報、FreebuF.COM、互聯網金融支付安全聯盟、平安東莞報道

責任編輯：韓希宇