國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞203個，互聯網上出現“libIEC61850 'BerDecoder_decodeUint32'函數緩沖區溢出漏洞、RIOT RIOT-OS拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

網信辦、工信部、公安部、市場監管總局制定《App違法違規收集使用個人信息行為認定方法》

根據《關于開展App違法違規收集使用個人信息專項治理的公告》，為監督管理部門認定App違法違規收集使用個人信息行為提供參考，為App運營者自查自糾和網民社會監督提供指引。>>詳細

《移動應用（App）數據安全與個人信息保護白皮書（2019年）》正式發布

白皮書內容涵蓋App最新發展趨勢及社會經濟影響、當前App存在的主要數據安全隱患、國內外App數據安全管理實踐、App數據安全綜合治理建議和用戶熱切關注的安全防范技巧等多個方面。>>詳細

盤點！2019年度個人信息保護十大事件

如果說2017年是個人信息保護的“開局之年”，那么即將結束的2019年可以說是個人信息保護的“攻堅之年”。>>詳細

刷臉支付的法律問題

業界人士認為，刷臉支付采用“人臉識別+支付口令”是兼顧安全與便捷的實現方式，在支付體系中，人臉識別顯然是主要的驗證手段。>>詳細

北京網警：關于OPENSSL加密組件存在重大風險隱患的預警通報

據國家網絡與信息安全信息通報中心監測發現，互聯網SSL協議實現組件OPENSSL部分版本存在重大安全隱患，可能導致信息泄露等風險。>>詳細

重慶高院發布金融商事審判白皮書 電子數據第三方認證問題被點名

我國產生電子數據這種證據類型的立法可以追溯至2005年頒布的《電子簽名法》，該法第一次提出了“數據電文”的概念，并將其界定為“以電子、光學、磁或者類似手段生成、發送、接收或存儲的信息”。>>詳細

國家密碼管理局 市場監管總局 關于調整商用密碼產品管理方式的公告

為貫徹落實“放管服”改革要求，充分激發商用密碼市場活力，根據《中華人民共和國密碼法》的規定，取消“商用密碼產品品種和型號審批”。>>詳細

立法回顧：美國的網絡隱私數據保護

人們沒有權利訪問自己的數據，修改自己的數據，輕松地將自己的數據從一家公司轉移到另一家公司，或以一己之力起訴一家公司侵犯了自己的網絡隱私。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年12月23日-29日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞203個，其中高危漏洞67個、中危漏洞118個、低危漏洞18個。漏洞平均分值為5.83。上周收錄的漏洞中，涉及0day漏洞93個（占46%），其中互聯網上出現“libIEC61850 'BerDecoder_decodeUint32'函數緩沖區溢出漏洞、RIOT RIOT-OS拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Linux產品安全漏洞

Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。Marvell WiFi chip driver是其中的的一個WiFi芯片驅動程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致緩沖區溢出，造成內核異常。

CNVD收錄的相關漏洞包括：Linux kernel內存錯誤引用漏洞（CNVD-2019-46994、CNVD-2019-47002）、Linux kernel緩沖區溢出漏洞（CNVD-2019-46998、CNVD-2019-47005）、Linux kernel輸入驗證錯誤漏洞（CNVD-2019-47001）、Linux Kernel堆緩沖區溢出漏洞（CNVD-2019-47003）、Linux kernel Marvell WiFi chip driver緩沖區溢出漏洞、Linux Kernel 'marvell/mwifiex/scan.c'文件緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

GoogleChrome是美國谷歌（Google）公司的一款Web瀏覽器。Android是美國谷歌（Google）和開放手持設備聯盟（簡稱OHA）的一套以Linux為基礎的開源操作系統。Video driver是其中的一個視頻驅動程序。MNH driver是其中的一個MNH驅動程序。Broadcom Bluetooth是其中的一個藍牙組件。Kernel是其中的一個系統內核組件。Touch driver是其中的一個觸控驅動程序。Framework是其中的一個Android框架組件。LG Bootloader是其中的一個啟動加載程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：Google Chrome資源管理錯誤漏洞（CNVD-2019-46750）、Google Android Video驅動程序提權漏洞、Google Android MNH驅動程序權限提升漏洞、Google Android BroadcomBluetooth權限提升漏洞、Google Android Kernel權限提升漏洞（CNVD-2019-47018）、Google Android Touch驅動程序權限提升漏洞、Google Android緩沖區溢出漏洞（CNVD-2019-47020）、Google Android操作系統命令注入漏洞。其中，“Google Chrome資源管理錯誤漏洞（CNVD-2019-46750）、Google Android Kernel權限提升漏洞（CNVD-2019-47018）、Google Android緩沖區溢出漏洞（CNVD-2019-47020）、Google Android操作系統命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

AppleSafari等都是美國蘋果（Apple）公司的產品。Apple Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。Apple iOS是一套為移動設備所開發的操作系統。Apple watchOS是一套智能手表操作系統。WebKit是其中的一個Web瀏覽器引擎組件。Apple iCloud for Windows是一款基于Windows平臺的云服務。CoreCrypto是其中的一個核心加密組件。Apple macOS Catalina是一套專為Mac計算機所開發的專用操作系統。libxslt是其中的一個XSLT（可擴展樣式表轉換語言）庫。CFNetwork是其中的一個低層次、高性能的框架，是BSD sockets（套接字）的擴展。Apple tvOS是一套智能電視操作系統。Kernel是其中的一個內核組件。Apple iTunes for Windows是一款基于Windows平臺的媒體播放器應用程序。WebKit是其中的一個Web瀏覽器引擎組件。Apple iPadOS是一套用于iPad平板電腦的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：多款Apple產品WebKit組件內存破壞漏洞（CNVD-2019-46956、CNVD-2019-46969）、多款Apple產品WebKit組件代碼執行漏洞（CNVD-2019-46964）、多款Apple產品libxslt組件內存破壞漏洞、多款Apple產品Kernel組件內存破壞漏洞（CNVD-2019-46965）、多款Apple產品CFNetwork組件跨站腳本漏洞、多款Apple產品CoreCrypto組件拒絕服務漏洞、多款Apple產品Kernel組件代碼執行漏洞（CNVD-2019-46966）。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Spectrum Scale是美國IBM公司的一套基于IBM GPFS（專為PB級存儲管理而優化的企業文件管理系統）的可擴展的數據及文件管理解決方案。IBM Financial TransactionManager for SWIFT Services是美國IBM公司的一款金融事務管理器產品。IBM Cognos Analytics是美國IBM公司的一套商業智能軟件。IBM Planning Analytics是美國IBM公司的一套業務規劃分析解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取cookie值，執行任意命令等。

CNVD收錄的相關漏洞包括：IBM Spectrum Scale輸入驗證錯誤漏洞、IBM Financial Transaction Manager for SWIFT Services點擊劫持漏洞、IBM Financial Transaction Manager for SWIFT Services跨站腳本漏洞、IBM Financial Transaction Manager for SWIFT Services信息泄露漏洞、IBM Financial Transaction Manager for SWIFT Services跨站請求偽造漏洞、IBM Cognos Analytics跨站腳本漏洞（CNVD-2019-46620）、IBM Cognos Analytics跨站請求偽造漏洞、IBM Planning Analytics代碼執行漏洞。其中，“IBM Spectrum Scale輸入驗證錯誤漏洞、IBM Planning Analytics代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux kernel內存錯誤引用漏洞（CNVD-2019-46996）

Linux kernel是一種計算機操作系統內核。上周，Linux kernel被披露存在內存錯誤引用漏洞。攻擊者可利用該漏洞導致發生釋放后重用。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Linux產品被披露存在多個漏洞，攻擊者可利用漏洞導致緩沖區溢出，造成內核異常。此外，Google、Apple、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取cookie值，提升權限，執行任意代碼，導致拒絕服務等。另外，Linux kernel被披露存在內存錯誤引用漏洞。攻擊者可利用該漏洞導致發生釋放后重用。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、中國信通院、金卡生活、首都網警、國家密碼管理局、FreeBuf.COM報道

責任編輯：韓希宇