國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞277個，互聯網上出現“SimpleXML XML外部實體注入漏洞、Berta CMS任意文件上傳漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　“全域安全” 補齊智能POS最后一塊安全短板

　　手機的TEE解決方案過于依賴芯片，其核心技術掌握在芯片廠商手中，服務商只能通過調用芯片廠商提供的標準API接口，構建系統級的安全體系，并不能做到從底層硬件到軟件交互的全方位安全保障。>>詳細

　　運通牽手連連支付 Visa籌謀聯手八大銀行 合資形式或成人民幣清算牌照突破路徑

　　11月初，中國央行稱VISA和美國運通已向其提交銀行卡清算機構籌備申請材料，并與其就材料的完整性、合規性進行充分溝通；而VISA和美國運通尚未按要求進一步提供補充材料，尚無法正式受理。>>詳細

　　李曉楓：五路并進 移動支付安全發展總趨勢

　　中國的移動支付，其實已經是觸達普惠金融了，這就表現了金融的效力提升；但在另一方面，互聯網金融從去年開始降支，二者形成一個矛盾：盡管你觸達普惠金融，金融效力提升，但是風險在增加。>>詳細

　　技術觀瀾

　　探究人工智能系統中的安全問題

　　深度學習引領著新一輪的人工智能浪潮，受到工業界以及全社會的廣泛關注。雖然大家對人工智能有很多美好的憧憬，但是現實是殘酷的——隨著一批深度學習應用逐漸開始變成現實，安全問題也漸漸顯現出來。>>詳細

　　CA基礎知識

　　數字證書采用公鑰體制，在公開密鑰密碼體制中，公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年11月20日-2017年11月26日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞277個，其中高危漏洞71個、中危漏洞195個、低危漏洞11個。漏洞平均分值為5.95上周收錄的漏洞中，涉及0day漏洞49個（占18%），其中互聯網上出現“SimpleXML XML外部實體注入漏洞、Berta CMS任意文件上傳漏洞”零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數509個，與前周（772個）環比減少34%。

　　上周重要漏洞安全告警

　　Red Hat JBoss Enterprise Appli cation Platform遠程代碼執行漏洞

　　Red Hat JBoss EnterpriseApplication Platform（EAP）是美國紅帽（Red Hat）公司的一套開源、基于J2EE的中間件平臺。上周，該產 品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Red Hat JBossEnterprise Application Platform遠程代碼執行漏洞（CNVD-2017-33724）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Android on Google Pixel和Nexus是美國谷歌的一套運行于Google Pixel和Nexus中并以Linux為基礎的開源操作系統。QualcommCamera是使用在其中的一個攝像頭程序。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　CNVD收錄的相關漏洞包括：AndroidQualcomm Audio權限提升漏洞、Android Qualcomm Camera權限提升漏洞、AndroidQualcomm Camera權限提升漏洞（CNVD-2017-34667、CNVD-2017-34673）、AndroidQualcomm Linux kernel權限提升漏洞、Android Qualcomm Memory子系統權限提升漏洞、AndroidQualcomm Services權限提升漏洞、Android Qualcomm WLAN權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Internet Explorer是微軟公司推出的一款網頁瀏覽器。Microsoft Edge是內置于Windows 10版本中的網頁瀏覽器。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft Edge腳本引擎內存破壞漏洞（CNVD-2017-34922、CNVD-2017-34923、CNVD-2017-34924、CNVD-2017-34927、CNVD-2017-34928、CNVD-2017-34932）、MicrosoftInternet Explorer內存破壞漏洞（CNVD-2017-34718、CNVD-2017-34719）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Registered EnvelopeService是美國思科公司的一套郵件服務解決方案。Cisco Umbrella Insights Virtual Appliances是一款基于云的安全互聯網網關設備。Cisco IP Phone8800是一款提供視頻和VoIP通信功能的電話產品。Cisco NX-OS軟件是一個數據中心級的操作系統。上周，上述產品被披露存在權限提升、命令注入和跨站腳本漏洞，攻擊者可利用漏洞提升權限、執行任意命令或發起跨站腳本攻擊等。

　　CNVD收錄的相關漏洞包括：Cisco IP Phone8800系列debug界面命令注入漏洞、Cisco NXOS Python腳本引擎權限提升漏洞、CiscoReg istered Envelope Service跨站腳本漏洞（CNVD-2017-34809、CNVD-2017-34810、CNVD-2017-34811、CNVD-2017-34812、CNVD-2017-34813）、Cisco UmbrellaInsights Virtual Appliances本地權限提升漏洞。其中，“Cisco IP Phone 8800系列debug界面命令注入漏洞、Cisco NX-OSPython腳本引擎權限提升漏洞、Cisco Umbrella Insights Virtual Appliances本地權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Icinga Core權限提升漏洞

　　Icinga Core是Icinga項目的一套企業級開源監控系統。上周，Icinga被披露存在權限提升漏洞，本地攻擊者可利用該漏洞獲取權限。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Red Hat被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。此外，Google、Microsoft、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限、執行任意代碼或發起跨站腳本攻擊等。另外，Icinga被披露存在權限提升漏洞，本地攻擊者可利用該漏洞獲取權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、移動支付網、經濟觀察網、雷鋒網、安全客、安智客報道

責任編輯：韓希宇