中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞193個，互聯網上出現“NETGEARDGN2200任意命令執行漏洞、Joomla com_news組件'id'參數SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　支付清算協會：關于國內消費金融的3個特點、4挑戰和4個建議

　　除了銀行和消費金融公司這類傳統持牌機構，電商、P2P網貸、分期購物平臺等機構紛紛推出消費金融產品，如螞蟻花唄、京東白條、微粒貸、分期樂等。這類機構創新性強，注重客戶體驗和服務效率，通過自身各具特色的生態體系及業務場景，細分市場，針對特定群體深耕細作，覆蓋了大量消費者，成為消費金融市場最活躍的參與者。>>詳細

　　首例微信紅包外掛案告破 涉案資金近三千萬

　　這個軟件未受騰訊公司授權，它可以實時攔截微信客戶端與服務器之間的傳輸數據，對微信客戶端讀取服務器回包數據進行讀取、修改，進而實現自動搶紅包、透視紅包等相關作弊功能。這類軟件會竊取用戶信息，甚至能將賬戶內的錢轉走，安全隱患非常大。>>詳細

　　50億條公民信息泄漏案后續 京東稱涉事員工處于試用期

　　鄭某鵬在加入京東之前曾在國內多家知名互聯網公司工作，其長期與盜賣個人信息的犯罪團隊合作，將從所供職公司盜取的個人信息數據進行交換，并通過各種方式在互聯網上販賣。>>詳細

　　美國支付巨頭Verifone遭遇網絡攻擊

　　從郵件內容可以看出，Verifone的員工不能在公司手提電腦和PC上安裝任何軟件。這就表明，這起入侵事件可能因下載惡意軟件所致。在Verifone發送上述電子郵件的前幾天，信用卡公司Mastercard和Visa向Verifone通知了這起事件。>>詳細

　　《阿里聚安全2016年報》發布

　　常用移動欺詐通過機刷、模擬器、改機工具等手段作弊,如通過一鍵生成改機軟件修改手機硬件參數IMEI、MAC、藍牙地址等,偽造新手機多次安裝激活App;通過腳本批量操作各種安卓模擬器如天天模擬器、海馬玩模擬器、夜神模擬器等,反復進行機刷-App安裝-App激活等操作。>>詳細

　　澳大利亞著手出臺《數據泄露通報制度》敦促安全建設

　　美國國防部對國內諸如銀行及醫療衛生等部門實施的舉措就非常值得借鑒。其對私營行業及其承包與采購商發布了一系列與安全違規通報相關的規則與條例，同時建立起合作與志愿項目，包括：國防工業基礎網絡安全計劃（簡稱DIB-CS）；銀行FS-ISAC以及醫療衛生NH-ISAC等，旨在實現公共與私營部門各參與者間的合作伙伴關系。>>詳細

　　索尼推出基于Felica技術HCE非接支付應用

　　安卓HCE模式下能夠支持Type A、B、C在內的所有CPU卡，唯獨不支持不是CPU卡的Mifare卡。所以，Type C類型的Felica卡實際上也是CPU卡，因此支持HCE模式也是比較好理解的。>>詳細

　　安全漏洞周報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為高。

　　上周共收集、整理信息安全漏洞193個，其中高危漏洞82個、中危漏洞100個、低危漏洞11個。漏洞平均分值為6.5。本周收錄的漏洞中，涉及0day漏洞73個（占38%）。其中互聯網上出現“NETGEARDGN2200任意命令執行漏洞、Joomla com_news組件'id'參數SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　1、Apache Struts2存在S2-045遠程代碼執行漏洞

　　Apache Struts是一款用于創建企業級Java Web應用的開源框架。上周，該產品被披露存在S2-045遠程代碼執行漏洞，攻擊者可利用漏洞直接取得網站服務器控制權。

　　相關漏洞包括：Apache Struts2存在S2-045遠程代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　2、Apple產品安全漏洞

　　Apple macOS Sierra是美國蘋果公司為Mac計算機所開發的一套專用操作系統。Apple iOS是一套為移動設備所開發的操作系統。watchOS是一套智能手表操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、進行跨站腳本攻擊或執行任意代碼等。

　　相關漏洞包括：Apple macOSSierra libxpc組件沙盒繞過漏洞、Apple iOSWebKit組件跨站腳本漏洞、AppleiOS/macOS拒絕服務漏洞、Apple iOS Clipboard組件信息泄露漏洞、Apple iOSWebSheet組件沙盒繞過漏洞、Apple macOS本地信息泄露漏洞、Apple macOS 任意代碼執行漏洞（CNVD-2017-02450、CNVD-2017-02451）。

　　其中，“Apple iOSWebSheet組件沙盒繞過漏洞、Apple macOS任意代碼執行漏洞（CNVD-2017-02450）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、IBM產品安全漏洞

　　IBM Tivoli SystemAutomation for Multiplatforms是美國IBM公司的一套集群解決方案。IBM ContentNavigator是一款Web客戶機，IBM WebSphere MQ是一款消息傳遞中間件產品。IBM PowerKVM是一套開放式虛擬化解決方案。IBM TivoliStorage Manager Server是一套存儲管理軟件解決方案。IBM Jazz for ServiceManagement在整合服務管理和一些關鍵領域的第三方產品提供了增強的解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞進行跨站腳本攻擊、提升本地權限、執行任意代碼或發起拒絕服務攻擊等。

　　相關漏洞包括：IBM TivoliSystem Automation for Multiplatforms本地權限提升漏洞、IBM ContentNavigator跨站腳本漏洞（CNVD-2017-02624）、IBM WebSphere MQ拒絕服務漏洞（CNVD-2017-02626、CNVD-2017-02480）、IBM PowerKVM命令執行漏洞、IBM TivoliStorage Manager Server緩沖區溢出漏洞、IBM WebSphere MQ數據轉換拒絕服務漏洞、IBM Jazz forService Management 跨站請求偽造漏洞。其中，“IBM Tivoli SystemAutomation for Multiplatforms本地權限提升漏洞、IBM PowerKVM命令執行漏洞、IBM TivoliStorage Manager Server緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　4、Linux產品安全漏洞

　　Linux kernel是美國Linux基金會發布的操作系統Linux所使用的內核。上周，該產品被披露存在權限獲取和拒絕服務漏洞，攻擊者可利用漏洞執行任意代碼。相關漏洞包括：Linux kernel權限獲取漏洞（CNVD-2017-02608）、Linux kernel本地拒絕服務漏洞（CNVD-2017-02609、CNVD-2017-02605、CNVD-2017-02606、CNVD-2017-02607、CNVD-2017-02604、CNVD-2017-02602）、Linux kernel拒絕服務漏洞（CNVD-2017-02483）。其中，“Linux kernel權限獲取漏洞（CNVD-2017-02608）、Linux kernel本地拒絕服務漏洞（CNVD-2017-02606）”的綜合評級為“高?！?。目前，除“Linux kernel本地拒絕服務漏洞（CNVD-2017-02606）”外，剩余漏洞已經發布了相應的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　5、多款D-Link DGS-1510 Websmart設備安全繞過漏洞

　　D-Link DGS-1510-28XMP是友訊（D-Link）公司的以太網交換機。上周，D-Link被披露存在安全繞過漏洞，攻擊者可利用該漏洞提交特殊的請求，進行未授權的命令執行。目前，廠商尚未發布該漏洞的修補程序。在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　專家點評和建議

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：上周，Apache Struts2被披露存在S2-045遠程代碼執行漏洞，攻擊者可利用漏洞直接取得網站服務器控制權。此外，Apple、IBM、Linux等多款產品被披露存在多個漏洞，攻擊者利用漏洞可泄露敏感信息、進行跨站腳本攻擊、執行任意代碼或發起拒絕服務攻擊等。另外，D-Link被披露存在安全繞過漏洞，攻擊者可利用該漏洞提交特殊的請求，進行未授權的命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　?。ㄖ袊娮鱼y行網綜合中國支付清算協會網站、現代快報、新浪科技、E安全、中國網、移動支付網報道）

責任編輯：韓希宇