國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞400個，互聯網上出現“WordPress EmailSubscribers&Newsletters插件跨站腳本漏洞、Microsoft WindowsPowerShell命令執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

CNCERT發布《2019年上半年我國互聯網網絡安全態勢》（附全文下載）

數據泄露事件及風險、有組織的分布式拒絕服務攻擊干擾我國重要網站正常運行、魚叉釣魚郵件攻擊事件頻發，多個高危漏洞被曝出，我國網絡空間仍面臨諸多風險與挑戰。>>詳細

您與此網站之間建立的連接不安全……

網站應盡快升級更加安全的HTTPS協議，并采用全球信任的服務器證書，進而提高網站安全等級、可信度和企業形象，給網站及企業增加一把“數據安全守護鎖”。>>詳細

5G商用提速 網絡安全市場規模將達千億

隨著大數據和人工智能時代的到來，網絡安全行業已經成為一個巨大的風口。>>詳細

銀聯設立閃付雙免“盜刷舉報”獎勵基金 聯合公安部門、產業各方嚴厲打擊盜刷

閃付雙免“舉報獎勵”基金的設置，將進一步加強閃付雙免業務防盜刷能力，降低盜刷比率，守護持卡人的資金安全。>>詳細

上海交通大學網絡安全技術研究院院長李建華：人工智能與網絡空間安全

人工智能可以被用于用戶行為分析、網絡流量分析和入侵檢測、網絡終端反惡意軟件、Web 應用防火墻或數據庫防火墻、以及商業流程反欺詐檢測等。>>詳細

AI帶來的數據裸奔：中國數據安全市場2023年將達400億元

新興技術的發展往往是一把“雙刃劍”，在AI驅動社會各領域發展的同時，作為AI技術的關鍵因素——數據也成為重點保護對象。>>詳細

HTTPS 證書有效期被提議從 27 個月縮短到 13 個月

早在一年前，證書的最長有效期已經從 39 個月降至 27 個月。>>詳細

華為發布分布式微內核系統鴻蒙，應用于TEE重塑可信安全

鴻蒙OS將微內核技術應用于可信執行環境（TEE），通過形式化方法，重塑可信安全。形式化方法是利用數學方法，從源頭驗證系統正確，無漏洞的有效手段。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年8月5日-11日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞400個，其中高危漏洞62個、中危漏洞196個、低危漏洞142個。漏洞平均分值為5.0。本周收錄的漏洞中，涉及0day漏洞44個（占11%），其中互聯網上出現“WordPress EmailSubscribers&Newsletters插件跨站腳本漏洞、Microsoft WindowsPowerShell命令執行漏洞”等零日代碼攻擊漏洞。

本周重要漏洞安全告警

Oracle產品安全漏洞

OracleMySQL是一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。本周，上述產品被披露存在訪問控制錯誤漏洞，攻擊者可利用漏洞造成拒絕服務（掛起或頻繁崩潰）。

CNVD收錄的相關漏洞包括：Oracle MySQL Server訪問控制錯誤漏洞（CNVD-2019-26706、CNVD-2019-26712、CNVD-2019-26710、CNVD-2019-26711、CNVD-2019-26713、CNVD-2019-26714、CNVD-2019-26715、CNVD-2019-26744）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat是一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。本周，該產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader內存錯誤引用漏洞（CNVD-2019-26034、CNVD-2019-26035、CNVD-2019-26036、CNVD-2019-26037、CNVD-2019-26038、CNVD-2019-26039、CNVD-2019-26040、CNVD-2019-26041）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Intel產品安全漏洞

IntelCapability Licensing Service是一款Intel功能許可服務接口。Intel Graphics Driver for Windows是一款適用于Windows平臺的顯卡驅動程序。Intel Converged Securityand Management Engine是一款安全管理引擎。Intel TXE是一款使用在CPU（中央處理器）中具有硬件驗證功能的信任執行引擎。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞逃離虛擬機，訪問主機，提升權限，執行任意代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：Intel Capability LicensingService權限提升漏洞、Intel Graphics Driver forWindows User Mode Driver訪問控制漏洞、Intel Graphics Driver forWindows Kernel Mode Driver內存破壞漏洞、Intel Graphics Driver forWindows Kernel Mode Driver任意代碼執行漏洞（CNVD-2019-26185、CNVD-2019-26188）、Intel Converged Securityand Management Engine和Intel TXE緩沖區溢出漏洞、Intel Converged Security and Management Engine IntelAMT任意代碼執行漏洞、Intel Active ManagementTechnology拒絕服務漏洞。其中，“Intel Graphics Driver forWindows Kernel Mode Driver內存破壞漏洞、Intel Graphics Driver forWindows Kernel Mode Driver任意代碼執行漏洞（CNVD-2019-26185、CNVD-2019-26188）、Intel Converged Securityand Management Engine和Intel TXE緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是一款Web瀏覽器。本周，上述產品被披露存在信息泄露和安全繞過漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，執行未授權的訪問權限。

CNVD收錄的相關漏洞包括：Google Chrome信息泄露漏洞（CNVD-2019-26205）、Google Chrome安全繞過漏洞（CNVD-2019-26392、CNVD-2019-26403、CNVD-2019-26514、CNVD-2019-26517、CNVD-2019-26519、CNVD-2019-26520、CNVD-2019-26521）。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DVA-5592信息泄露漏洞

D-Link DVA-5592是一款無線路由器。本周，D-Link DVA-5592被披露存在信息泄露漏洞。攻擊者可利用該漏洞訪問敏感信息（Wi-Fi密碼和電話號碼）。

小結

本周，Oracle被披露存在訪問控制錯誤漏洞，攻擊者可利用漏洞造成拒絕服務（掛起或頻繁崩潰）。此外，Adobe、Intel、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，執行未授權的訪問權限，提升權限，執行任意代碼，造成拒絕服務等。D-Link DVA-5592被披露存在信息泄露漏洞。攻擊者可利用該漏洞訪問敏感信息（Wi-Fi密碼和電話號碼）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家互聯網應急中心、中國銀聯、第一財經、中國信息安全、移動支付網、開源中國、cnBeta報道

責任編輯：韓希宇