國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞179個，互聯網上出現“WordPressProduct Enquiry for WooCommerce插件跨站腳本漏洞、Microsoft Windows EMET XML外部實體注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　大眾點評被指泄露用戶隱私 住酒店被微信好友獲知

　　根據2016年頒布的《移動互聯網應用程序信息服務管理規定》，APP運營者收集、使用用戶個人信息應當遵循合法、正當、必要的原則，明示收集使用信息的目的、方式和范圍，并經用戶同意。>>詳細

　　迅雷發布了自主研發的TCFS協議

　　TCFS有完善的文件權益保護和授予機制。它通過公私鑰簽名技術驗證用戶和文件的持有關系，并運用獨創的令牌授權機制，僅允許有授權的用戶訪問數據。>>詳細

　　美國眾議院致函蘋果谷歌：就隱私和數據問題提出質疑

　　智能手機在某些情況下會收集非觸發式音頻數據，以便聽到“Okay Google”或“Hey Siri”等觸發短語。并且第三方應用也可以獲取這些信息，并在用戶不知情的情況下使用這種“非觸發”數據。>>詳細

　　技術觀瀾

　　邊信道攻擊新方法：利用體溫盜取口令

　　實驗中研究人員招募了30位普通用戶來根據紅外熱成像掃描圖猜測口令。如果輸入口令的是“一指禪”用戶，通過觀察紅外熱成像掃描，被測人員能在首字符輸入后的19.5-31秒內猜出口令。>>詳細

　　Go代碼重構：23倍性能提升！

　　要說寫代碼是每位程序員的使命，那么寫優秀的代碼則是每位程序員的底線。本文作者分享基于Go語言的代碼重構，使得性能提升23倍的快速方法。>>詳細

　　流行的9個Java框架介紹：優點、缺點等等

　　雖然Java不是最直接的語言，但是您不需要從頭編寫Java程序。有許多優秀的Java框架可以編寫在Java虛擬機上運行的web和移動應用程序、微服務和REST api。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年07月02日-2018年07月09日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞179個，其中高危漏洞55個、中危漏洞108個、低危漏洞16個。漏洞平均分值為5.82。上周收錄的漏洞中，涉及0day漏洞34個（占19%），其中互聯網上出現“WordPressProduct Enquiry for WooCommerce插件跨站腳本漏洞、Microsoft Windows EMET XML外部實體注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　CNVD收錄的相關漏洞包括：Google AndroidKernel組件權限提升漏洞（CNVD-2018-12652）、Google Android NVIDIA組件權限提升漏洞（CNVD-2018-12654、CNVD-2018-12655）、Google AndroidQualcomm組件權限提升漏洞（CNVD-2018-12656、CNVD-2018-12659、CNVD-2018-12660、CNVD-2018-12661、CNVD-2018-12663）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM Rational Quality Manager是基于Web的合作性質量管理解決方案。IBM RationalCollaborativeLifecycle Management是應用生命周期管理解決方案。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞允許用戶在Web UI中嵌入任意JavaScript代碼，導致泄露受信任會話內的憑證。

　　CNVD收錄的相關漏洞包括：IBM RQM/RCLM跨站腳本漏洞（CNVD-2018-12619、CNVD-2018-12620、CNVD-2018-12622、CNVD-2018-12621、CNVD-2018-12623、CNVD-2018-12624、CNVD-2018-12626、CNVD-2018-12627）。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10是一套個人電腦使用的操作系統。Windows Server2016、Windows Server Version 1709和Windows Server Version1803都是服務器操作系統。Microsoft Office 2010 SP2等都是辦公軟件套件產品。Excel是Office套件中的一款電子表格處理軟件。MicrosoftOffice Online Server 2016是一套基于Web的辦公軟件套件。Office WebApps Server 2013 SP1是一款為Office文件提供基于瀏覽器的文件查看和編輯功能的Office Server產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：MicrosoftWindows 'HTTP.sys'遠程代碼執行漏洞、Microsoft Windows DNSAPI遠程代碼執行漏洞（CNVD-2018-12562）、MicrosoftWindows Hyper-V Code Integrity權限提升漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2018-12566）、MicrosoftWindows 'HTTP.sys'拒絕服務漏洞（CNVD-2018-12567）、MicrosoftWindows WebDAV拒絕服務漏洞、Microsoft Windows Media Foundation內存破壞漏洞、MicrosoftOffice權限提升漏洞（CNVD-2018-12577）。其中，除“MicrosoftWindows 'HTTP.sys'拒絕服務漏洞（CNVD-2018-12567）、MicrosoftWindows WebDAV拒絕服務漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apache產品安全漏洞

　　Apache PDFBox是一個開源的、基于Java并提供創建新的PDF文檔、修改現有的PDF文檔等功能的工具庫。ApacheZookeeper是一個軟件項目。Apache Tomcat是一款輕量級Web應用服務器。Apache Qpid是一款面向對象的消息中間件，它是一個AMQP（高級消息隊列協議）的實現，可以和符合AMQP協議的系統進行通信，并提供了C++、Python、Java、C#等編程語言的客戶端庫。Apache MXNet是一套可擴展的深度學習框架。Apache HBase是一套構建在Apache Hadoop和ApacheZooKeeper上的面向列的分布式數據庫。Apache CXF是一個開源服務框架。ApacheCassandra是一套開源分布式NoSQL數據庫系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能限制，獲取敏感信息，執行遠程代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：ApachePDFBox's AFMParser拒絕服務漏洞、Apache ZooKeeper安全繞過漏洞、Apache TomcatCORS Filter安全繞過漏洞、Apache Qpid Broker-J拒絕服務漏洞（CNVD-2018-12673）、Apache MXNet信息泄露漏漏洞、Apache HBase安全限制繞過漏洞、Apache CXF拒絕服務漏洞（CNVD-2018-12677）、ApacheCassandra任意Java代碼執行漏洞。其中，“Apache Tomcat CORS Filter安全繞過漏洞、Apache Cassandra任意Java代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Electro Industries GaugeTech Nexus設備信息泄露漏洞

　　Electro IndustriesGaugeTech Nexus devices是一款具有高級通訊功能的公共事業計費設備。上周，Electro IndustriesGaugeTech Nexus devices被披露存在信息泄露漏洞，遠程攻擊者可通過對meter_information.htm、diag_system.htm或diag_dnp_lan_wan.htmURI發送直接請求利用該漏洞獲取敏感信息。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Google被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。此外，IBM、Microsoft、Apache等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能限制，獲取敏感信息，執行遠程代碼或發起拒絕服務攻擊等。另外，Electro IndustriesGaugeTech Nexus devices被披露存在信息泄露漏洞，遠程攻擊者可通過對meter_information.htm、diag_system.htm或diag_dnp_lan_wan.htm URI發送直接請求利用該漏洞獲取敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、中國經濟網、新浪科技、51CTO、CSDN、安全牛報道　

責任編輯：韓希宇