國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞417個，互聯網上出現“TP-Link Archer C1200緩沖區溢出漏洞、MyBB JN-Jones MyBB-2FA插件跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

互信辦、發改委、工信部、財政部聯合發布《云計算服務安全評估辦法》

云計算服務安全評估結果有效期3年。有效期屆滿需要延續保持評估結果的，云服務商應在屆滿前至少6個月向辦公室申請復評。>>詳細

一圖讀懂 | 《云計算服務安全評估辦法》

>>詳細

等保2.0發布 CF****云證通促進移動金融業務安全合規發展

在用戶使用自己的****簽名時，需要用戶端、銀行端、CF****平臺端共同參與，任何一方均無法仿冒用戶的簽名操作；同時電子簽名及證書由CF****進行認證，保證針對簽名數據的任何改動均可被發現，保障業務數據的完整性。>>詳細

網信辦發布《互聯網信息服務嚴重失信主體信用信息管理辦法（征求意見稿）》

網信部門依據本辦法擬認定的黑名單，應由國家互聯網信息辦公室歸集后按照社會信用體系建設有關規定在“信用中國”網站履行公示程序，并接受相關單位或個人提出異議。>>詳細

虹膜識別技術在金融業的應用思考

在眾多的解決方案中，生物特征識別技術以其不易遺失、識別度高、安全性強的特點脫穎而出，而虹膜識別技術更是生物識別技術的個中翹楚，使用虹膜識別技術進行身份認證能夠非常有效地提高身份認證過程的安全性。>>詳細

以微軟用戶為目標的惡意軟件正偽裝成以假亂真的瀏覽器更新

用戶下載“更新”后，它會部署TrickBot特洛伊木馬程序，該馬程序專門查找瀏覽器中存儲的密碼，瀏覽歷史記錄和自動填充數據。>>詳細

歐盟通過支付服務修訂法案第二版 增加在線購買的雙因素身份驗證

在歐盟銷售的公司多年來歷經了許多的變化，涉及支付服務、跨市場法規和個別國家的要求。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2019 年7 月15 日- 21 日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞417個，其中高危漏洞137個、中危漏洞252個、低危漏洞28個。漏洞平均分值為6.05。上周收錄的漏洞中，涉及0day漏洞144個（占35%），其中互聯網上出現“TP-Link Archer C1200緩沖區溢出漏洞、MyBB JN-Jones MyBB-2FA插件跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

CNVD收錄的相關漏洞包括：Google Android Framework權限提升漏洞（CNVD-2019-23120、CNVD-2019-23121）、Google Android System權限提升漏洞（CNVD-2019-23099、CNVD-2019-23100、CNVD-2019-23320、CNVD-2019-23321、CNVD-2019-23322、CNVD-2019-23323）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。Adobe Acrobat是一款PDF編輯軟件。上周，該產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader內存錯誤引用漏洞（CNVD-2019-22787、CNVD-2019-22788、CNVD-2019-22791、CNVD-2019-22789、CNVD-2019-22790、CNVD-2019-22792、CNVD-2019-22793、CNVD-2019-22794）上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，執行任意代碼，發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2019-22627）、Mozilla Firefox安全繞過漏洞（CNVD-2019-22628）、Mozilla Firefox拒絕服務漏洞（CNVD-2019-22629）、Mozilla Firefox內存錯誤引用漏洞（CNVD-2019-22632）、Mozilla Firefox和Firefox ESR安全繞過漏洞（CNVD-2019-22851）、Mozilla Firefox和Firefox ESR內存破壞漏洞（CNVD-2019-22854）、Mozilla Firefox和Firefox ESR任意代碼執行漏洞（CNVD-2019-22855）、Mozilla Firefox和Firefox ESR拒絕服務漏洞（ CNVD-2019-22852）。其中，“Mozilla Firefox和Firefox ESR內存破壞漏洞（CNVD-2019-22854）、Mozilla Firefox和Firefox ESR任意代碼執行漏洞（CNVD-2019-22855）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

CloudBees產品安全漏洞

CloudBees Jenkins（HudsonLabs）是一套基于Java開發的持續集成工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行客戶端代碼等。

CNVD收錄的相關漏洞包括：CloudBees JenkinsElectricFlow Plugin信息泄露漏洞、CloudBees JenkinsElectricFlow Plugin跨站請求偽造漏洞、CloudBees JenkinsElectricFlow Plugin授權問題漏洞、CloudBees Jenkins TokenMacro Plugin XML外部實體漏洞、CloudBees JenkinsElectricFlow Plugin跨站腳本漏洞、CloudBees Jenkins JXResources Plugin信任管理問題漏洞、CloudBees Jenkins JXResources Plugin跨站請求偽造漏洞、CloudBees Jenkins路徑遍歷漏洞（CNVD-2019-23290）。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DCS-1130和D-Link DCS-1100緩沖區溢出漏洞

D-Link DCS-1100和D-LinkDCS-1130都是中國臺灣友訊（D-Link）公司的一款網絡攝像機。D-Link DCS-1100和DCS-1130被披露存在緩沖區溢出漏洞。攻擊者可通過攻擊orthrus守護進程利用該漏洞完全控制設備，查看攝像頭所拍攝的圖像。

小結

上周，Google被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。此外，Adobe、Mozilla、CloudBees等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，執行任意代碼，發起拒絕服務攻擊等。D-Link DCS-1130和D-LinkDCS-1100被披露存在緩沖區溢出漏洞。攻擊者可通過攻擊orthrus守護進程利用該漏洞完全控制設備，查看攝像頭所拍攝的圖像。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、cnBeta、雨果網報道

責任編輯：韓希宇