國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞200個，互聯網上出現“TP-LinkTL-WR840N和TL-WR841N認證繞過漏洞、D-link DSL-2640T跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　《移動金融基于聲紋識別的安全應用技術規范》金融行業標準正式發布

　　2018年10月9日，《移動金融基于聲紋識別的安全應用技術規范》（JR/T 0164—2018）金融行業標準由中國人民銀行正式發布。>>詳細

　　金標委發布《支付信息保護技術規范》 支付信息將分4大等級

　　近日，金標委發布《支付信息保護技術規范》（送審稿），該規范根據敏感程度對支付信息進行等級劃分，按敏感程度從低到高分為C1、C2、C3、C4四個類別。>>詳細

　　國家密碼管理局關于進一步加強商用密碼產品管理工作的通知

　　指導商用密碼產品生產單位嚴格遵循已發布密碼相關標準,加強商用密碼產品的設計和實現;做好商用密碼產品品種和型號申請材料的初審和把關,指導申報單位在申請書中明確該產品遵循的技術規范及申報的安全等級。>>詳細

　　歐盟樣本：以個人信息保護權替代隱私權

　　“個人數據保護權”脫胎于“隱私權”概念，但已然超越了“隱私權”。與后者的消極防御不同，個人數據保護權具有鮮明的主動防護特征，并且更為明晰具體，可精確描述。相較于隱私權，個人數據保護權的保護力度更大。>>詳細

　　IBM狂砸340億美元收購紅帽造世界頭號混合云提供商

　　值得注意的是，紅帽還涉獵多種業務。過去25年里，紅帽在各種企業友好技術上投入了大量資金——從計算機容器、無服務器計算到存儲和大數據文件系統。得益于這次收購，IBM可以觸及所有這些業務。>>詳細

　　Twitter封殺“郵件炸彈”嫌疑人帳號:此前未及時處理

　　對于采用機器學習技術的審查工具而言，圖像中的威脅性消息可能更難解析，盡管人類內容管理人員可以毫不費力地了解其中的含義。在大多數情況下，威脅性圖像與口頭威脅同時出現。>>詳細

　　技術觀瀾

　　Wi-Fi泄密門：沒連接Wi-Fi 黑客也知道你是誰去過哪

　　要深入了解Wi-Fi探針技術，首先要認識Wi-Fi的基本原理。在Wi-Fi網絡協議中，數據被封裝成了幀，有固定的格式規則，每個部分（幀結構）都有著不同的意義。>>詳細

　　在Android APK中嵌入Meterpreter

　　當今世界，移動電話無處不在。我們日常生活中的許多應用程序正在遷移到云部署，從而使前端技術重新回到瘦客戶端的時代。我們的瘦客戶端可以是任何東西，從JavaScript瀏覽器框架到支持移動設備的前端。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年10月22日-2018年10月28日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞200個，其中高危漏洞79個、中危漏洞116個、低危漏洞5個。漏洞平均分值為6.13。上周收錄的漏洞中，涉及0day漏洞65個（占33%），其中互聯網上出現“TP-LinkTL-WR840N和TL-WR841N認證繞過漏洞、D-link DSL-2640T跨站腳本漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Oracle產品安全漏洞

　　Oracle MySQL是一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞造成拒絕服務（掛起或頻繁崩潰），影響數據的可用性。

　　CNVD收錄的相關漏洞包括：Oracle MySQL Server拒絕服務漏洞（CNVD-2018-21471、CNVD-2018-21472、CNVD-2018-21474、CNVD-2018-21475、CNVD-2018-21478、CNVD-2018-21477、CNVD-2018-21486、CNVD-2018-21485）。目前，廠商已經發布了上述漏洞的修補程序。

　　Foxit產品安全漏洞

　　Foxit Reader for Windows是一款基于Windows平臺的PDF文檔閱讀器。FoxitPhantomPDF for Windows是它的商業版。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

　　CNVD收錄的相關漏洞包括：Foxit Reader和FoxitPhantomPDF for Windows內存錯誤引用漏洞（CNVD-2018-21836、CNVD-2018-21837、CNVD-2018-21838、CNVD-2018-21839、CNVD-2018-21840、CNVD-2018-21841、CNVD-2018-21842、CNVD-2018-21843）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Mozilla產品安全漏洞

　　Mozilla Firefox是一款開源Web瀏覽器；MozillaFirefox ESR是Firefox的一個延長支持版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取內存地址，執行任意代碼，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：MozillaFirefox和Firefox ESR內存破壞漏洞（CNVD-2018-21814）、MozillaFirefox內存錯誤引用漏洞（CNVD-2018-21815、CNVD-2018-21816）、MozillaFirefox和Firefox ESR棧越界讀取漏洞、Mozilla Firefox內存破壞漏洞（CNVD-2018-21819）、MozillaFirefox代碼執行漏洞（CNVD-2018-21820）、Mozilla Firefox和Firefox ESR類型混淆漏洞、MozillaFirefox和Firefox ESR拒絕服務漏洞（CNVD-2018-21822）。其中，除“MozillaFirefox和Firefox ESR拒絕服務漏洞（CNVD-2018-21822）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Wireless LAN Controller（WLC）Software是一套用于配置和管理WLC（無線局域網控制器）的軟件。Control and Provisioning of Wireless Access Points（CAPWAP）是其中的一個無線接入點控制和配置組件。Cisco WebEx Meetings是網絡會議解決方案。Cisco Firepower Threat Defense是一套運行在防火墻中的軟件。Cisco Digital Network Architecture Center（DNA Center）是一套數字網絡體系結構解決方案。Cisco HyperFlex Software是一套可擴展的分布式文件系統。Cisco Firepower System Software是一款下一代防火墻產品（NGFW）。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，檢索和修改重要的系統文件，運行任意命令，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Cisco Wireless LANController拒絕服務漏洞（CNVD-2018-21481）、Cisco Webex Meetings Desktop App Update Service命令注入漏洞、Cisco Firepower Threat Defense Software拒絕服務漏洞、Cisco Digital Network Architecture Center認證繞過漏洞、Cisco HyperFlex Static Signing Key授權繞過漏洞、Cisco Firepower System Software Detection Engine拒絕服務漏洞、Cisco Firepower System Software命令執行漏洞、Cisco Digital Network Architecture Center認證繞過漏洞。上述漏洞的綜合評級為“高?！?。

　　TP-Link TL-WA850RE Wi-Fi Range Extender堆緩沖區溢出漏洞

　　TP-Link TL-WA850RE Wi-Fi Range Extender是中國普聯（TP-LINK）公司的一款無線網絡信號擴展器。上周，TP-Link TL-WA850RE Wi-FiRange Extender被披露存在堆緩沖區溢出漏洞。遠程攻擊者可通過向to/data/syslog.filter.json文件發送較長的‘type’參數利用該漏洞造成拒絕服務（運行中斷）。

　　小結

　　上周，Oracle被披露存在拒絕服務漏洞，攻擊者可利用漏洞造成拒絕服務（掛起或頻繁崩潰），影響數據的可用性。此外，Foxit、Mozilla、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取內存地址，繞過身份驗證，執行任意代碼，發起拒絕服務攻擊等。另外，TP-Link TL-WA850RE Wi-Fi Range Extender被披露存在堆緩沖區溢出漏洞。遠程攻擊者可通過向to/data/syslog.filter.json文件發送較長的‘type’參數利用該漏洞造成拒絕服務（運行中斷）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、央行網站、國家密碼管理局、上海證券報、21世紀經濟報道、新浪科技、移動支付網、嘶吼RoarTalk報道

責任編輯：韓希宇