國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞375個，互聯網上出現“OracleVirtualBox Manager 'Name Attribute'拒絕服務漏洞、Western Digital My Cloud身份驗證繞過漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　一圖讀懂金融標準:《金融行業信息系統信息安全等級保護實施指引》

　　今天小編給大家帶來的是中國人民銀行營業管理部推出的“一圖讀懂 金融標準”系列，為大家解讀《金融行業信息系統信息安全等級保護實施指引》(JR/T 0071-2012)。>>詳細

　　蘋果、亞馬遜、Alphabet等支持美出臺數據隱私保護法

　　這些公司支持讓用戶擁有他們對自己數據的控制權，對數據如何使用的透明性以及刪除他們數據的能力，個人數據包括網頁瀏覽歷史以及其他消費者數據。>>詳細

　　黑科技加碼招商銀行企業APP 財務們有福了

　　用戶可以通過人臉識別、指紋識別等方式實現免UKEY交易和第三方數字證書簽約。整個業務辦理過程不僅快速、安全，同時也符合《電子簽名法》及央行關于在線支付業務的相關要求。>>詳細

　　華大電子聯手中天微 共筑完全自主可控金融“芯”長城

　　其TEE和抗物理攻擊技術，從內到外，全方位考慮抵御各種安全威脅。除了在硬件上的防范技術之外，中天微在可信啟動、鏡像簽名、安全存儲、數據加密、權限控制、設備認證等軟件安全技術方面不斷更新與升，為客戶的產品保駕護航。>>詳細

　　比特幣軟件被曝DoS 漏洞：開發者緊急修補

　　這個漏洞是一個DoS漏洞，修復方案已經通過Bitcoin Core 0.16.3發出。如果這個漏洞被黑客利用，就有可能去掉節點，最糟糕的情況甚至會導致相當一部分網絡暫時崩潰。>>詳細

　　美國議員法案三連擊 擬為區塊鏈和加密貨幣打造更優發展環境

　　第二項法案則明確加密貨幣礦工和多簽名服務提供商無需注冊成為“貨幣轉賬服務提供商”，因為他們并沒有完全控制投資者的資金，而是僅僅幫助驗證網絡完整性，并為使用數字資產的用戶提供更高的安全性。>>詳細

　　技術觀瀾

　　深度學習中常見的10個方法 你應該知道

　　從根本上講，機器學習是使用算法從原始數據中提取信息，并在某種類型的模型中表示這些信息。我們使用這個模型來推斷還沒有建模的其他數據。>>詳細

　　多種使用SMB端口遠程連接PC的方法介紹

　　當你收集到了目標PC的用戶名和密碼之后，如何通過SMB端口445來與目標用戶的設備建立連接呢？在這篇文章中，我們將幫助大家解開這個疑惑。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年09月17日-2018年09月23日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞375個，其中高危漏洞109個、中危漏洞247個、低危漏洞19個。漏洞平均分值為5.96。上周收錄的漏洞中，涉及0day漏洞122個（占33%），其中互聯網上出現“OracleVirtualBox Manager 'Name Attribute'拒絕服務漏洞、Western Digital My Cloud身份驗證繞過漏洞”等零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數588個，與上周（1267個）環比下降54%。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Windows 7 SP1是一套個人電腦使用的操作系統。Windows Server 2008是一套服務器操作系統。Windows Server 2008 R2 SP1是一套服務器使用的操作系統。Microsoft Windows 10是一套供個人電腦使用的操作系統。Windows Server Version 1709是一套服務器操作系統。Windows Server 2016是一套服務器操作系統。Microsoft Internet Explorer是一款流行的WEB瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，破壞內存。

　　CNVD收錄的相關漏洞包括：Microsoft Windows GDI+Component遠程代碼執行漏洞、Microsoft Windows Kernel'Win32k.sys'本地權限提升漏洞（CNVD-2018-19388）、MicrosoftInternet Explorer遠程內存破壞漏洞（CNVD-2018-19391、CNVD-2018-19392、CNVD-2018-19393）、Microsoft Windows Kernel'Win32k.sys'本地權限提升漏洞（CNVD-2018-19394）、Microsoft Windows NDIS本地權限提升漏洞（CNVD-2018-19396）、Microsoft WindowsInstaller DLL加載本地限提升漏洞。其中，除“Microsoft Windows InstallerDLL加載本地限提升漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Apache產品安全漏洞

　　Apache SpamAssassin是的一款開源的垃圾郵件過濾器，它為系統管理員提供了一個過濾器，并支持對電子郵件進行分類阻止垃圾郵件。Apache Camel是一套開源的基于EnterpriseIntegration Pattern(企業整合模式，簡稱EIP)的集成框架。Apache TrafficServer（ATS）是一款HTTP代理和緩存服務器。Apache Mesos是一套支持Hadoop、ElasticSearch和Spark等應用架構的開源群集管理軟件。Apache Cayenne是一款提供對象關系映射（ORM）和遠程服務的開源持久性框架。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞查看系統上的任意文件，執行任意代碼，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：ApacheSpamAssassin PDFInfo插件遠程代碼執行漏洞、Apache Camel Mail路徑遍歷漏洞、Apache Mesoslibprocess拒絕服務漏洞、Apache Cayenne CayenneModeler XML外部實體注入漏洞、Apache TrafficServer拒絕服務漏洞（CNVD-2018-19518、CNVD-2018-19519、CNVD-2018-19513、CNVD-2018-19517）。其中，“ApacheSpamAssassin PDFInfo插件遠程代碼執行漏洞、Apache CayenneCayenneModeler XML外部實體注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行任意代碼或造成拒絕服務。

　　CNVD收錄的相關漏洞包括：Google AndroidQualcomm MProc緩沖區溢出漏洞、Google Android緩沖區溢出漏洞（CNVD-2018-19554、CNVD-2018-19573、CNVD-2018-19572）、Google AndroidWLAN緩沖區溢出漏洞（CNVD-2018-19576）、Google Android PMIC緩沖區溢出漏洞、Google Android緩沖區溢出漏洞（CNVD-2018-19581）、Google AndroidAudio緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　IBM產品安全漏洞

　　IBM WebSphere Application Server（WAS）是一款應用服務器產品，它是Java EE和Web服務應用程序的平臺，也是IBM WebSphere軟件平臺的基礎。IBM RationalDOORS是一套用于捕獲、跟蹤、分析和管理需求的軟件。IBM FileNet Content Manager和ContentFoundation都是針對FileNet P8平臺的內容管理解決方案。IBM Rational QualityManager（RQM）是一套協作的、基于Web的質量管理解決方案。IBM RationalCollaborative Lifecycle Management（CLM）是一套協作化生命周期管理解決方案。RationalQuality Manager（RQM）是一套協作的、基于Web的質量管理解決方案。IBM TivoliMonitoring（ITM）是一套系統監控軟件。IBM GPFS是一套專為PB級存儲管理而優化的企業文件管理系統。IBM SpectrumScale是一套基于IBM GPFS的可擴展的數據及文件管理解決方案。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：IBM WebSphereApplication Server信息泄露漏洞（CNVD-2018-19104）、IBM RationalDOORS權限提升漏洞、IBM FileNet Content Manager和Content FoundationAdministration Console for Content Platform Engine XML外部實體注入漏洞、IBM RationalQuality Manager信息泄露漏洞、IBM Rational Quality Manager HTML注入漏洞（CNVD-2018-19534）、多款IBM產品信息泄露漏洞（CNVD-2018-19536）、IBM TivoliMonitoring權限提升漏洞、IBM GPFS拒絕服務漏洞。其中，“IBM Rational DOORS權限提升漏洞、IBM TivoliMonitoring權限提升漏洞”的綜合評級為“高?！?。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　HPE 3PAR Service Processor遠程代碼執行漏洞

　　HPE 3PAR Service Processor（SP）是一套部署在VMware vSphere虛擬機管理程序上的虛擬服務處理器。上周，HPE 3PAR Service Processor（SP）被披露存在遠程代碼執行漏洞。遠程攻擊者可利用該漏洞執行代碼。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Microsoft被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，破壞內存。此外，Apache、Google、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，發起拒絕服務攻擊等。另外，HPE 3PAR Service Processor（SP）被披露存在遠程代碼執行漏洞。遠程攻擊者可利用該漏洞執行代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、新浪科技、雷鋒網、51CTO、金融IC卡技術與應用、FreebuF.COM、金融科技頭條報道

責任編輯：韓希宇