國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞383個，互聯網上出現“Bento4越界讀取漏洞、Bento4空指針解引用漏洞（CNVD-2019-28477）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

2019年國家網絡安全宣傳周將于9月16日至22日舉行

劉烈宏介紹道，網安周已經連續舉辦了五屆，產生了良好的社會效果。今年的網安周將進一步豐富活動形式、創新宣傳手段，各地方和相關部門都在緊鑼密鼓的籌備中。>>詳細

劃重點：金融業這樣搭建網絡安全管理標準框架

框架基于全面風險管理視角，采納了NIST SP 800-39 所描述的風險縱向分層，以更好地區分不同的管理者應該關注的重點，以及更好地進行責任分割。>>詳細

發改委：建立個人所得稅納稅信用管理機制

加大對信用信息系統、信用服務機構數據庫的監管力度，保護納稅人合法權益和個人隱私，確保國家信息安全。>>詳細

十部門聯合印發《加強工業互聯網安全工作的指導意見》（附全文）

到2020年底，工業互聯網安全保障體系初步建立。制度機制方面，建立監督檢查、信息共享和通報、應急處置等工業互聯網安全管理制度，構建企業安全主體責任制，制定設備、平臺、數據等至少20項亟需的工業互聯網安全標準，探索構建工業互聯網安全評估體系。>>詳細

工商銀行張旻：大數據體系下的數據治理與數據安全保護

中國工商銀行依托于自主建設的大數據服務平臺，建立完整的大數據治理體系和數據安全保護機制，加強數據治理和安全保護，推進數據的深入挖掘和智能化應用，發揮大數據價值，助力智慧銀行建設。>>詳細

《2019上半年企業安全總結》出爐 詳解企業網絡安全現狀

本文以騰訊安全御見威脅情報中心安全大數據為基礎，從終端安全、服務器安全、網站安全和郵件安全等緯度剖析2019年上半年企業用戶安全趨勢。>>詳細

光大銀行史晨陽：大數據體系下的數據安全治理

近幾年來，數據安全事件層出不窮，個人隱私大范圍泄露，在數據高速發展的時代，數據安全治理逐步成為關注的焦點并引發各界深度思考。>>詳細

360首席安全技術官鄭文彬:5G使網絡攻擊潛在對象增多

任何一個5G接入的設備都可能成為網絡攻擊入侵點，意味著5G將使得網絡攻擊潛在對象增加。>>詳細

網信辦發布《兒童個人信息網絡保護規定》

為了保護兒童個人信息安全，促進兒童健康成長，根據《中華人民共和國網絡安全法》《中華人民共和國未成年人保護法》等法律法規，制定本規定。>>詳細

支付寶發布國內首個生物識別行業倡議：遵循最小、夠用

這份倡議共5點，主要從隱私、安全、防止信息濫用、責任與監督、公平等角度，呼吁對生物識別的發展進行規范化管理，來確保行業可控、健康的發展。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年8月19日-25日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞383個，其中高危漏洞104個、中危漏洞264個、低危漏洞15個。漏洞平均分值為5.93。上周收錄的漏洞中，涉及0day漏洞89個（占23%），其中互聯網上出現“Bento4越界讀取漏洞、Bento4空指針解引用漏洞（CNVD-2019-28477）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Qualcomm WLAN芯片遠程代碼執行漏洞

Qualcomm WLAN芯片是高通平臺處理WLAN/WIFI協議的專用芯片，屬于高通Baseband子系統，用于提高WLAN/WIFI處理速度和性能，降低能耗。上周，該產品被披露存在遠程代碼執行漏洞，攻擊者可以通過控制WLAN固件，最終導致在服務器上執行任意代碼。

CNVD收錄的相關漏洞包括：ualcomm WLAN芯片遠程代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

OracleFusion Middleware（Oracle融合中間件）是一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。Outside In Technology是其中的一個軟件開發工具包組件。上周，上述產品被披露存在訪問控制錯誤漏洞，攻擊者可利用漏洞未授權讀取數據，造成拒絕服務，影響數據的保密性和可用性。。

CNVD收錄的相關漏洞包括：Oracle Outside InTechnology訪問控制錯誤漏洞（CNVD-2019-27776、CNVD-2019-27777、CNVD-2019-27778、CNVD-2019-27779、CNVD-2019-27780、CNVD-2019-27781、CNVD-2019-27783、CNVD-2019-27784）。其中，“Oracle Outside InTechnology訪問控制錯誤漏洞（CNVD-2019-27784）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat是一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。上周，該產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader內存錯誤引用漏洞（CNVD-2019-28672、CNVD-2019-28686、CNVD-2019-28688、、CNVD-2019-28689、CNVD-2019-28690、CNVD-2019-28691、CNVD-2019-28692、CNVD-2019-28693）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android WLAN整數溢出漏洞、Google Android WLAN空指針逆向引用漏洞、Google Android WLAN緩沖區溢出漏洞（CNVD-2019-28607、CNVD-2019-28611）、Google Android WLAN雙重釋放漏洞、Google Android System信息泄露漏洞（CNVD-2019-28627、CNVD-2019-28634）、Google Android Media Framework遠程代碼執行漏洞（CNVD-2019-28638）。其中，除“Google Android System信息泄露漏洞（CNVD-2019-28627、CNVD-2019-28634）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NVIDIA產品安全漏洞

NVIDIA Windows GPU Display Driver是一款專用于Windows平臺的圖形處理器（GPU）顯卡驅動程序。NVIDIA SHIELD TV娛樂主機是一款客廳娛樂設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行代碼，提升權限，泄露信息或造成拒絕服務。

CNVD收錄的相關漏洞包括：NVIDIA Windows GPU DisplayDriver權限許可和訪問控制問題漏洞（CNVD-2019-28285、CNVD-2019-28287）、NVIDIA Windows GPU DisplayDriver輸入驗證錯誤漏洞、NVIDIA Windows GPU DisplayDriver代碼問題漏洞、NVIDIA Shield TVExperience權限許可和訪問控制漏洞、NVIDIA Windows GPU DisplayDriver拒絕服務漏洞（CNVD-2019-28599、CNVD-2019-28600、CNVD-2019-28601）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

CloudBees Jenkins Wall Display Plugin跨站腳本漏洞

CloudBees Jenkins（HudsonLabs）是一套基于Java開發的持續集成工具。上周，CloudBees Jenkins Wall Display Plugin被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。

小結

上周，Qualcomm WLAN芯片被披露存在遠程代碼執行漏洞，攻擊者可以通過控制WLAN固件，最終導致在服務器上執行任意代碼。此外，Oracle、Adobe、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行代碼，提升權限，泄露信息或造成拒絕服務等。另外，CloudBees Jenkins Wall Display Plugin被披露存在跨站腳本漏洞，攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、網信辦網站、發改委網站、工信部網站、金融電子化、新浪科技、驅動之家、騰訊御見威脅情報中心報道

責任編輯：韓希宇