國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞230個，互聯網上出現“Max Secure Anti Virus Plus權限提升漏洞、NAPC Xinet Elegant 6 Asset Library Web Interface SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

刷臉“被破解”之后：資金、賬戶等安全風險不容忽視

近日，美國一家名為Kneron的人工智能公司宣稱使用3D面具突破了支付寶、微信的人臉識別系統，還騙過了國內某火車站的閘機，成功刷臉進站。一時輿論嘩然，對此微信支付表示如果出現人臉盜刷，將進行賠付。>>詳細

CFCA服務金融標準化 107家企業成為“領跑者”

在中國人民銀行、國家市場監督管理總局、中國標準化研究院的指導下，CFCA作為金融領域企業標準“領跑者”評估機構，配合中國支付清算協會開展評估工作，完成企業標準評估方案編制。>>詳細

國家互聯網信息辦公室發布《網絡信息內容生態治理規定》

網絡信息內容服務平臺應當建立網絡信息內容生態治理機制，制定本平臺網絡信息內容生態治理細則。>>詳細

CFCA攜兩項簽字鑒定世界紀錄亮相ICDAR 2019

繼在“離線簽字鑒定”領域大幅刷新世界紀錄后，中國金融認證中心（CFCA）機器學習實驗室于“在線簽字鑒定”領域再創佳績。>>詳細

密碼體制如何應對“量子霸權”？

量子計算是目前全世界范圍內的前沿研究熱點，并可能正以量子體積每年翻倍的“量子摩爾定律”向前發展。>>詳細

白話說CC—揭秘穿透性測試

針對安全芯片的穿透性測試覆蓋了非侵入式攻擊、半侵入式攻擊及侵入式攻擊等多種攻擊方式，測試項目眾多，芯片設計廠商需要綜合考慮各種情況，為芯片設計出針對各種攻擊方式的防護對策。>>詳細

Android端Twitter應用曝出安全漏洞：信息恐已泄漏 推薦盡快更改密碼

推特（Twitter）面向所有Android端推特用戶發送了一封電子郵件，在確認公司已經修復Android端APP存在的嚴重漏洞之外，有黑客可能通過該漏洞獲取了部分用戶賬戶信息。>>詳細

萬事達卡收購安全評估初創公司RiskRecon

對于像萬事達這樣的金融服務公司來說，為客戶提供網絡安全相關服務變得越來越重要，RiskRecon則就會給客戶一個公司風險狀況的客觀評分。>>詳細

全新 Mozi P2P 僵尸網絡入侵 Netgear、D-Link、Huawei 路由器

由于被一個名為Mozi的P2P僵尸網絡入侵，Netgear、D-Link和Huawei路由器正積極檢測Telnet弱密碼。因該僵尸網絡再次使用了部分代碼，可判定該事件與 Gafgyt惡意軟件相關。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2019年12月16日-22日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞230個，其中高危漏洞77個、中危漏洞122個、低危漏洞31個。漏洞平均分值為5.86。上周收錄的漏洞中，涉及0day漏洞51個（占22%），其中互聯網上出現“Max Secure Anti Virus Plus權限提升漏洞、NAPC Xinet Elegant 6 Asset Library Web Interface SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Windows 7 SP1是一款操作系統。Microsoft Windows XP是一套PC和平板電腦使用的操作系統。Remote Desktop Protocol是一個遠程桌面協議。Microsoft SharePoint是一套企業業務協作平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft InternetExplorer遠程代碼執行漏洞（CNVD-2019-45913）、Microsoft Windows和Microsoft Windows Server提權漏洞（CNVD-2019-45911）、Microsoft Windows和Microsoft Windows Server OLE遠程代碼執行漏洞、Microsoft Windows Remote Desktop Protocol信息泄露漏洞、Microsoft Windows Media Player信息泄露漏洞（CNVD-2019-45916）、Microsoft Windows GraphicsDevice Interface信息泄露漏洞（CNVD-2019-45917）、Microsoft Windows Media Player信息泄露漏洞（CNVD-2019-45918）、Microsoft SharePointServer信息泄露漏洞（CNVD-2019-46110）。其中，“Microsoft Internet Explorer遠程代碼執行漏洞（CNVD-2019-45913）、Microsoft Windows和Microsoft Windows Server提權漏洞（CNVD-2019-45911）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

SPPA-T3000是一種分布式控制系統，主要應用于火力發電廠和大型可再生能源發電廠。MS3000 Migration Server是其中的一個遷移服務器。上周，上述產品被披露存在堆緩沖區溢出漏洞，攻擊者可利用漏洞獲得root權限，導致拒絕服務并執行任意代碼。

CNVD收錄的相關漏洞包括：Siemens SPPA-T3000 MS3000Migration Server堆緩沖區溢出漏洞（CNVD-2019-45378、CNVD-2019-45409、CNVD-2019-45410、CNVD-2019-45411、CNVD-2019-45417、CNVD-2019-45418、CNVD-2019-45419、CNVD-2019-45421）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

AdobeAcrobat是一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。Adobe Photoshop是一套圖片處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop CC內存破壞漏洞（CNVD-2019-45962、CNVD-2019-45969）、Adobe Acrobat和Reader緩沖區溢出漏洞（CNVD-2019-45967）、Adobe Acrobat和Reader內存錯誤引用漏洞（CNVD-2019-45970、CNVD-2019-45971、CNVD-2019-45973、CNVD-2019-45974、CNVD-2019-45975）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致拒絕服務，釋放后重用。

CNVD收錄的相關漏洞包括：Linux kernel內存錯誤引用漏洞（CNVD-2019-45875、CNVD-2019-45876、CNVD-2019-45877、CNVD-2019-45878、CNVD-2019-45879、CNVD-2019-45906、CNVD-2019-45907）、Linux kernel緩沖區溢出漏洞（CNVD-2019-45882）。其中，“Linux kernel緩沖區溢出漏洞（CNVD-2019-45882）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat FreeIPA緩沖區溢出漏洞

Red Hat FreeIPA是一套集成的安全信息管理解決方案。上周，Red Hat FreeIPA被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。此外，Siemens、Adobe、Linux等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲得root權限，導致拒絕服務并執行任意代碼等。另外，RedHat FreeIPA被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致緩沖區溢出或堆溢出等。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、21世紀經濟報道、FreeBuf.COM、cnBeta.COM、HackerNews.cc、網安前哨報道

責任編輯：韓希宇