中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞167個，互聯網上出現“SamsungSmartcam 遠程命令執行漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　一周信息安全要聞速覽

　　人民銀行支付結算司司長謝眾：防范打擊電信網絡詐騙 保障客戶資金安全

　　互聯網和信息技術在金融領域的融合運用，給支付體系帶來了巨大的變化，支付體系的效率和便捷性不斷提高，客戶體驗不斷提升。但與此同時，支付體系的安全問題日益突出，監管工作面臨新的挑戰。>>詳細

　　歐洲移動支付服務商iZettle與銀聯國際宣布合作

　　與Square采用的刷卡即付模式不同，iZettle采用的是在歐洲非常流行的芯片密碼卡，卡主在進行支付時需要輸入4位數的密碼，iZettle認為這種支付方式更加安全。>>詳細

　　安全公司發現雄邁數字攝像機的主控口令“已泄露”

　　一些私人社區或供應商辯稱他們的設備僅僅用于局域網，但是這份文件顯示它們會用于網絡服務。被涉廠商沒有公開確認問題，而只在私下里承認犯錯。PTP公司擬定從中國引入一臺攝像設備來透析此問題，但是錯誤顯然已經釀成。>>詳細

　　手機“支付成功”是假的 小店多次被騙

　　00后小侯最近發現了一個小秘密：無需綁定銀行卡，手機錢包余額里也沒有錢，只需要做一個小操作，就可以免費買東西。>>詳細

　　無需連接命令控制服務器的Spora有可能成為勒索軟件之王

　　安全研究人員發現了一種新式勒索軟件，該軟件被命名為Spora，能夠進行強離線文件解密，贖金支付模式也有了許多創新。目前為止，該惡意軟件針對的是俄語用戶，但其作者也開發了英語版的解密門戶，意味著他們有可能不久之后就將業務擴張到其他國家。>>詳細

　　銀聯3DS2.0標準立項并將送審 結合Token、生物識別技術

　　銀聯3DS2.0標準是基于EMVCo 3DS2.0標準，并結合銀聯原型開發的在線支付身份驗證服務;與3DS1.0版本相比，2.0版本不僅增加對移動端應用的支持，并可以與Token、指紋及人臉等生物識別技術相結合。>>詳細

　　安全漏洞周報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為中。

　　上周共收集、整理信息安全漏洞167個，其中高危漏洞82個、中危漏洞78個、低危漏洞7個。漏洞平均分值為6.81。上周收錄的漏洞中，涉及0day漏洞11個（占7%）。其中互聯網上出現“SamsungSmartcam遠程命令執行漏洞”零日代碼攻擊漏洞，請使用相關產品的用戶注意加強防范。

　　上周重要漏洞安全告警

　　上周，整理和發布以下重要安全漏洞信息。

　　1、Oracle 產品安全漏洞

　　1月18日，Oracle 發布了2017年1月份的安全更新，修復了其多款產品存在的270個安全漏洞。受影響的產品包括Oracle數據庫（2個）、Oracle SecureBackup（2個）、Oracle Big Data（1個）；中間件產品FusionMiddleware（18個）、企業管理器網格控制產品Oracle Enterprise ManagerGrid Control（8個）、電子商務套裝軟件OracleE-Business Suite（121個）、供應鏈套裝軟件Oracle SupplyChain Products Suite（1個）；PeopleSoft 產品（7個）、JDEdwards 產品（1個）、Oracle Siebel托管型CRM軟件（3個）、OracleCommerce（1個）、Communications Applications（4個）、金融服務分析應用軟件OracleFinancial Services Applications（37）、RetailApplications（8個）、Primavera產品（4個）、Java SE（17個）、Oracle Sun系統產品（4個）、Virtualization（4個）和MySQL數據庫（27個）。本次安全更新提供了有252個漏洞可被遠程利用。

　　相關漏洞包括：OracleE-Business Suite遠程安全漏洞（CNVD-2017-00639、CNVD-2017-00640、CNVD-2017-00641、CNVD-2017-00642、CNVD-2017-00643、CNVD-2017-00644、CNVD-2017-00645、CNVD-2017-00646）等。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　2、Google產品安全漏洞

　　Android on Nexus 9是美國谷歌（Google）公司和開放手持設備聯盟共同開發的一套運行于Nexus 9中并以Linux為基礎的開源操作系統。NVIDIA cameradriver是使用在其中的一個攝像頭驅動程序。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞執行任意代碼。

　　相關漏洞包括：Google Nexus NVIDIA GPU驅動權限提升漏洞、Google Nexus NVIDIA GPU 驅動權限提升漏洞（CNVD-2017-00469、CNVD-2017-00470、CNVD-2017-00471、CNVD-2017-00472、CNVD-2017-00473、CNVD-2017-00474、CNVD-2017-00475）等，上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、IBM產品安全漏洞

　　IBM Kenexa LMS on Cloud是美國IBM公司的一套可配置的集成了社交網絡、協作和知識分享功能的企業級社交學習管理系統 (LMS)。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞更改數據庫信息、進行跨站腳本攻擊或執行任意代碼等。

　　相關漏洞包括：IBM Kenexa LMSon Cloud SQL注入漏洞（CNVD-2017-00563、CNVD-2017-00564、CNVD-2017-00565）、IBM Kenexa LMSon Cloud跨站腳本漏洞（CNVD-2017-00561、CNVD-2017-00562）、IBM Kenexa LMSon Cloud目錄遍歷漏洞（CNVD-2017-00566、CNVD-2017-00567）、IBM Kenexa LMSon Cloud任意代碼執行漏洞等。除“IBM Kenexa LMS on Cloud 跨站腳本漏洞（CNVD-2017-00561）、IBM Kenexa LMSon Cloud目錄遍歷漏洞（CNVD-2017-00566）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　4、Juniper Networks產品安全漏洞

　　Juniper Junos是一套專用于該公司的硬件系統的網絡操作系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞發起拒絕服務攻擊、泄露敏感信息或執行任意代碼等。

　　相關漏洞包括：Juniper Junos拒絕服務漏洞（ CNVD-2017-00602 、CNVD-2017-00603、CNVD-2017-00604、CNVD-2017-00605）、Juniper Junos權限提升漏洞（CNVD-2017-00606）、Juniper Junos代碼執行漏洞、Juniper Junos跨站腳本漏洞（CNVD-2017-00608）、Juniper JunosXML敏感信息泄露漏洞等。除“Juniper Junos拒絕服務漏洞（CNVD-2017-00603、CNVD-2017-00604）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　5、Apple Logic Pro X和GarageBand存在內存破壞漏洞

　　Apple Logic Pro X是蘋果官方推出的一款音樂制作編輯軟件；GarageBand是蘋果機器上的音樂演奏、合成、錄制工具。上周，Apple被披露存在內存破壞漏洞。攻擊者可以利用該漏洞執行任意代碼。目前，廠商尚未發布該漏洞的修補程序。在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　專家點評和建議

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：1月18日，Oracle發布了2017年1月份的安全更新，修復了其多款產品存在的270個安全漏洞。本次安全更新提供了有252個漏洞可被遠程利用。此外，Google、IBM、JuniperNetworks等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、泄露敏感信息或發起拒絕服務攻擊等。另外，Apple被披露存在內存破壞漏洞。攻擊者可以利用該漏洞執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

責任編輯：韓希宇