國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞350個，互聯網上出現“XiaoCms文件上傳漏洞、FUELCMS跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

市場監管總局 中央網信辦關于開展App安全認證工作的公告

為規范移動互聯網應用程序收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護，根據《中華人民共和國網絡安全法》《中華人民共和國認證認可條例》，市場監管總局、中央網信辦決定開展App安全認證工作。>>詳細

實測！APP“偷看”短信還上傳 “老板給我漲工資了”明文可見

記者嘗試使用技術實測了143款App，嘗試研究在我們把收集權限交給App之后，會發生什么？結果我們在App行為測試的結果中明文看到了App調取了用戶的短信內容并上送；此外，還有App向多個第三方服務器發送用戶信息，可謂觸目驚心。>>詳細

電子合同怎樣才能安心簽？

《中華人民共和國電子簽名法》第十四條，規定了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。第十六條規定了電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務。>>詳細

探討生物特征識別在身份認證的應用安全

本文探討生物特征識別在應用中所面臨的安全隱患，重點討論偽造生物特征、數據泄露帶來的技術挑戰，歸納總結針對安全隱患所采取的安全防護手段。>>詳細

廣發銀行出妙招防范個人信息泄露

保護金融消費安全，除了個人提高金融消費信息安全意識外，金融機構增強信息安全知識普及，以科技手段保護用戶金融消費安全也必不可少。>>詳細

外賣APP在偷聽你說話？黑客：技術上能實現，但用戶也能先防范起來

近日有媒體稱，經過試驗發現部分外賣平臺app存在“偷聽”行為，通過手機、平板電腦等智能終端的麥克風“偷聽”用戶需求，繼而進行精準推薦。對此，被點名的外賣平臺均予以否認。>>詳細

3·15晚會曝光手機APP泄露個人隱私信息 這只是冰山一角

自從智能機器人開始流行，葛健就經常接到朋友的咨詢，“有些人為了防止泄密，不用的時候，就把機器人的插銷拔了”。>>詳細

保障個人信息安全 必須斬斷黑色數據產業鏈

從“探針盒子”到“外呼機器人”，從收集加工到買賣利用，緊密銜接的個人信息黑色產業鏈被完整揭露。不承想，“大數據”竟然以如此形式影響著你我的生活。保障個人信息安全，這些“黑色數據”必須根除！>>詳細

技術觀瀾

揭秘計算機之間互發數據的關鍵原理

天各一方的兩臺計算機是如何通信的呢？在成千上萬的計算機中，為什么一臺計算機能夠準確著尋找到另外一臺計算機，并且把數據發送給它呢？>>詳細

一篇報告了解國內首個針對加密流量的檢測引擎

攻擊者利用SSL加密通道完成惡意軟件載荷和漏洞利用的投遞和分發，以及受感染主機與命令和控制(C&C)服務器之間的通信。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年03月11日-2019年03月17日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞350個，其中高危漏洞70個、中危漏洞248個、低危漏洞32個。漏洞平均分值為5.31。上周收錄的漏洞中，涉及0day漏洞131個（占37%），其中互聯網上出現“XiaoCms文件上傳漏洞、FUELCMS跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Acrobat是一套PDF文件編輯和轉換工具，Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在內存錯誤引用洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader內存錯誤引用洞（CNVD-2019-06905、CNVD-2019-06906、CNVD-2019-06907、CNVD-2019-06908、CNVD-2019-06909、CNVD-2019-06910、CNVD-2019-06911、CNVD-2019-06912）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Word是Office套件中的一款文字處理軟件。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows AppX Deployment Server是其中的一個應用程序部署服務器。Windows VBScript engine是其中的一個VBScript（腳本語言）引擎。Microsoft Edge是一款Web瀏覽器。ChakraCore是使用在其中的一個開源的Chakra JavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。 Microsoft InternetExplorer（IE）是一款Windows操作系統附帶的Web瀏覽器。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft Visual Studio是一款開發工具套件系列產品，也是一個基本完整的開發工具集，它包括了整個軟件生命周期中所需要的大部分工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，欺騙，繞過安全功能限制，獲取敏感信息，執行遠程代碼或發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Microsoft Word遠程執行代碼漏洞、Microsoft Windows VBScript Engine遠程執行代碼漏洞、Microsoft ChakraCore和Edge遠程內存破壞漏洞、Microsoft Internet Explorer遠程內存破壞漏洞（CNVD-2019-07239）、Microsoft Edge遠程內存破壞漏洞（CNVD-2019-07242）、Microsoft Windows AppX Deployment Server本地權限提升漏洞、Microsoft Edge和InternetExplorer遠程內存破壞漏洞（CNVD-2019-07329）、Microsoft Visual Studio遠程代碼執行漏洞（CNVD-2019-07333）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL是一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞造成拒絕服務（組件掛起或頻繁崩潰），影響數據的可用性。

CNVD收錄的相關漏洞包括：Oracle MySQL Server組件拒絕服務漏洞（CNVD-2019-07339、CNVD-2019-07341、CNVD-2019-07340、CNVD-2019-07342、CNVD-2019-07344、CNVD-2019-07343、CNVD-2019-07346、CNVD-2019-07348）。目前，廠商已經發布了上述漏洞的修補程序。

Mcafee產品安全漏洞

McAfee ePolicy Orchestrator是一款可擴展的平臺,可對安全策略進行集中式策略管理與強制實施。McAfee Total Protection是一套殺毒軟件。McAfee Web Gateway（MWG）是一款安全網關產品。McAfee Agent（MA）是一套提供了ePolicy Orchestrator（殺毒軟件管理平臺）與被管理產品之間的安全通信的客戶端組件。agent是其中的一個代理程序。McAfee Application Control是一套程序管控軟件，可阻止設備運行未經授權的應用程序。McAfee Change Control是一套變更管控軟件，可攔截對應用程序的未授權變更。McAfee True Key（TK）是美國邁克菲（McAfee）公司的一款身份驗證應用程序。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感數據，繞過產品自我保護機制，篡改策略及產品文件，卸載McAfee軟件，執行任意命令，造成拒絕服務等。

CNVD收錄的相關漏洞包括：McAfee Agent提權漏洞、McAfee ePolicy Orchestrator跨站請求偽造漏洞、McAfee Total Protection (MTP)安全限制繞過漏洞、McAfee Web Gateway不當輸入驗證漏洞、McAfee Agent本地拒絕服務漏洞、McAfee Application Control和Change Control安全限制繞過漏洞、McAfee Agent臨時文件不安全處理漏洞、McAfee True Key跨站腳本漏洞。廠商已經發布了上述漏洞的修補程序。

ASUS GT-AC5300拒絕服務漏洞

ASUS GT-AC5300是一款無線路由器。上周，ASUS GT-AC5300被披露存在拒絕服務漏洞。攻擊者可通過發送‘GET / HTTP/1.1\r\n’利用該漏洞造成拒絕服務。

小結

上周，Adobe被披露存在內存錯誤引用洞，攻擊者可利用漏洞執行任意代碼。此外，Microsoft、Oracle、Mcafee等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，欺騙，繞過安全功能限制，獲取敏感信息，執行遠程代碼或發起拒絕服務攻擊等。另外，ASUS GT-AC5300被披露存在拒絕服務漏洞。攻擊者可通過發送‘GET / HTTP/1.1\r\n’利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、南方都市報、解放日報、中國金融新聞網、央廣網、《中國企業家》、《中國信息安全》、安全牛報道

責任編輯：韓希宇