國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞203個，互聯網上出現“WecodexRestaurant CMS 'Login' SQL注入漏洞、多款Tenda產品httpd緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　SSL3.0/TLS1.0/TLS1.1壽終正寢 主流瀏覽器擁抱TLS1.2/TLS1.3

　　當前，利用SSL站點證書維護網站安全并進行安全通信，已成為各大操作系統、瀏覽器及應用廠商所力推的方式。在Google宣布從Chrome70版本開始強制對未部署證書網站做出不安全警告后，各大操作系統相繼宣布支持“廢止舊版SSL/TLS協議”的計劃。>>詳細

　　第五屆世界互聯網大會召開 CFCA烏鎮論道信息安全

　　產品直擊各行業信息安全痛點，從生物密碼與電子認證的結合應用，到虛擬網絡世界的身份認證，再到無紙化業務運營的合法合規與綠色高效、電子合同簽署的安全合法簽署保障，還有與每個人都關系密切的移動金融的便捷安全，大數據行業數據合規應用。>>詳細

　　CFCA張行：用PKI構建物聯網安全體系

　　物聯網安全的核心需求主要包括四點：身份認證、安全連接、安全執行和安全存儲。在“傳統”的互聯網領域，這些問題已被PKI安全體系完美解決，可以說，PKI構建了互聯網世界的安全基礎。>>詳細

　　【圖解】《移動終端支付可信環境技術規范》（JR/T 0156-2017）

　　今天給大家帶來的是北京移動金融產業聯盟推出的“聯盟圖解金融標準”系列第一篇，為大家解讀金融行業標準《移動終端支付可信環境技術規范》（JR/T 0156-2017）。>>詳細

　　量子加密好消息：研究人員發現高效率產生光子方法

　　史蒂文斯技術學院和哥倫比亞大學的研究人員開發了一套可擴展的精確方法，能在芯片上創建大量量子光源。這些光源可被用于量子計算機和量子加密系統。研究人員稱，該方法結合了空間控制與可擴展性，能夠高效率地按需發射光子。>>詳細

　　世界最大仿大腦超算問世：擁有百萬個處理器核心

　　科學家們日前激活了世界上最大的“大腦”:一臺擁有100萬個處理器核心和1200塊互連電路板的超級計算機，其工作原理和人腦一樣?？茖W家們宣布，這是世界上最大的神經形態計算機，也就是模擬神經元放電的計算機。>>詳細

　　谷歌更新reCAPTCHA機制 圖形驗證即將成為過去時

　　鑒于CAPTCHA是抵御自動網絡抓取、DDoS攻擊、欺詐性購買等行為的重要工具，如何繞過它始終是地下組織熱衷研究的主題之一。上周Flashpoint分析師也發現了，在某英語暗網網點上，針對CAPTCHA的話題討論趨勢有所上升。>>詳細

　　技術觀瀾

　　如何使用Magisk解鎖Bootloader以及RootGoogle Pixel 3？

　　與Google Nexus系列一樣，如果你想要root Google Pixel智能手機或為其安裝自定義ROM，那么首先你必須解鎖Bootloader。>>詳細

　　銀行木馬Trickbot新模塊：密碼抓取器分析

　　Trickbot曾經是一個簡單的銀行木馬，已經走過了漫長的道路。隨著時間的推移，我們已經看到網絡犯罪分子如何繼續為此惡意軟件添加更多功能。>>詳細

　　無線AP容量及網絡帶寬計算方法

　　在搭建無線網絡的時候，肯定會遇到這樣的問題：在考察環境之后怎樣才能準確、科學、快速地預判出大概的無線AP需求量?帶著這個問題，我們一起來探討如何利用帶寬估算無線AP的部署量。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年10月29日-2018年11月04日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞203個，其中高危漏洞90個、中危漏洞106個、低危漏洞7個。漏洞平均分值為6.39。上周收錄的漏洞中，涉及0day漏洞37個（占18%），其中互聯網上出現“WecodexRestaurant CMS 'Login' SQL注入漏洞、多款Tenda產品httpd緩沖區溢出漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　IBM產品安全漏洞

　　IBM WebSphere Application Server（WAS）是一款應用服務器產品，它是Java EE和Web服務應用程序的平臺，也是IBM WebSphere軟件平臺的基礎。IBM WebSphere Commerce是一套電子商務解決方案。IBM Daeja ViewONE Virtual是一款文檔查看器，支持查看TIFF、PDF和基于Office的文檔。IBM Kenexa LCMS Premier onCloud是一套可調節的用于開發、維護和提供高效的員工培訓的學習內容管理系統(LCMS)。IBM Security Access Manager是一款應用于信息安全管理的產品。IBM FlashSystem 840 MTMs 9840-AE1等都是企業級存儲解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行未授權的操作，執行任意代碼，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：IBM WebSphere Commerce信息泄露漏洞（CNVD-2018-22087、CNVD-2018-22088）、IBM WebSphere Commerce開放重定向漏洞、IBM Daeja ViewONE Virtual XXE漏洞、IBM WebSphere Application Server Liberty OpenID Connect代碼執行漏洞、IBM Kenexa LCMS Premier on Cloud SQL注入漏洞、IBM Security Access Manager未授權操作漏洞、多款IBM產品GUI權限提升漏洞。其中，除“IBM WebSphereCommerce信息泄露漏洞（CNVD-2018-22087、CNVD-2018-22088）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple macOS Sierra是為Mac計算機所開發的一套專用操作系統。Apple iOS是為移動設備所開發的一套操作系統。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞以系統權限執行任意代碼（內存破壞）。

　　CNVD收錄的相關漏洞包括：Apple macOSmDNSOffloadUserClient內存破壞漏洞、Apple iOS FaceTime內存破壞漏洞、Apple macOSSierra Kernel內存破壞漏洞（CNVD-2018-22359、CNVD-2018-22360、CNVD-2018-22361、CNVD-2018-22363、CNVD-2018-22366）、Apple macOS內存損壞漏洞（CNVD-2018-22365）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成堆破壞。

　　CNVD收錄的相關漏洞包括：Google ChromeBlink內存錯誤引用漏洞（CNVD-2018-22389）、Google Chrome Blink信息泄露漏洞、Google Chrome安全繞過漏洞（CNVD-2018-22395、CNVD-2018-22396）、Google ChromeSkia堆緩沖區溢出漏洞（CNVD-2018-22399）、Google Chrome PDFium內存錯誤引用漏洞（CNVD-2018-22400、CNVD-2018-22401）、Google ChromeV8類型混淆漏洞（CNVD-2018-22402）。其中，除“Google ChromeBlink信息泄露漏洞、Google Chrome安全繞過漏洞（CNVD-2018-22395、CNVD-2018-22396）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Foxit產品安全漏洞

　　CFoxit Reader for Windows是一款基于Windows平臺的PDF文檔閱讀器。Foxit PhantomPDF for Windows是它的商業版。上周，該產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

　　CNVD收錄的相關漏洞包括：Foxit Reader for Windows內存錯誤引用漏洞（CNVD-2018-22397）、Foxit Reader和Foxit PhantomPDF forWindows內存錯誤引用漏洞（CNVD-2018-22404、CNVD-2018-22405、CNVD-2018-22406、CNVD-2018-22407、CNVD-2018-22408、CNVD-2018-22410、CNVD-2018-22409）。上述漏洞的綜合評級為“高?！?。

　　GNU Binutils 'elf_link_input_bfd'函數拒絕服務漏洞

　　GNU Binutils（又名GNU Binary Utilities或binutils）是GNU計劃開發的一組編程語言工具程序，它主要用于處理多種格式的目標文件，并提供有連接器、匯編器和其他用于目標文件和檔案的工具。Binary File Descriptor（BFD）library（又名libbfd）是其中的一個以各種格式便攜式操作對象文件的庫。上周，GNU Binutils被披露存在拒絕服務漏洞。遠程攻擊者可借助特制的ELF文件利用該漏洞造成拒絕服務（空指針逆向引用）。

　　小結

　　上周，IBM被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行未授權的操作，執行任意代碼，發起拒絕服務攻擊。此外，Apple、Google、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成堆破壞，以系統權限執行任意代碼（內存破壞）。另外，GNU Binutils被披露存在拒絕服務漏洞。遠程攻擊者可借助特制的ELF文件利用該漏洞造成拒絕服務（空指針逆向引用）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、51CTO、環球網、移動支付網、嘶吼RoarTalk、安全牛、FreebuF.COM報道

責任編輯：韓希宇