國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞172個，互聯網上出現“FoscamOpticam i5棧緩沖區溢出漏洞、Shipping System CMS SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　網信辦發布《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》（全文）

　　為加強對具有輿論屬性或社會動員能力的互聯網信息服務和相關新技術新應用的安全管理，規范互聯網信息服務活動，維護國家安全、社會秩序和公共利益，根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》，制訂本規定。>>詳細

　　萬物互聯 CFCA雙向認證方案賦能物聯網安全

　　作為中國大陸境內唯一擁有全入根（微軟，谷歌，蘋果，火狐，Adobe）的電子認證服務機構，CFCA的全球信任根已植入主流桌面及移動操作系統，支持最新安全要求和技術標準，充分保障物聯網服務端身份可信賴及通信通道安全。>>詳細

　　GDPR給安全帶來的七大不利影響

　　違反GDPR的代價過于巨大，因而你不得不為那些預料不到的后果考慮，而且因為無法使用Whois數據，無形中也擴大了威脅界面。因為GDPR的存在，可供黑客入侵的威脅界面顯著增長，不是增加了一點點，而是翻了個數量級。>>詳細

　　HTTP3.0有望拋棄TCP傳輸層：換用UDP協議

　　雖然UDP與TCP相反，是不可靠且無序的，但效率很高、速度快。谷歌調優后的QUIC更是重建了可靠性和有序性，但減少了連接次數，尤其是對于加密連接來說，能夠使用先前協商過的相同加密恢復舊連接，而不需要任何額外的往返。>>詳細

　　安全研究人員：英偉達GPU 存在旁路攻擊漏洞

　　加州大學河濱分校的研究人員，發現了三種可能被黑客利用 GPU、來攻破用戶安全與隱私防線的方法。>>詳細

　　美國運通印度分公司數據庫曝光 致70萬人信息泄露

　　根據相關數據顯示，這些記錄似乎都來自印度的美國運通分公司。值得注意的是，在操作過程中并不需要使用任何特殊的程序，僅僅是通過Shodan一類的物聯網搜索引擎或BinaryEdge.io來進行查找就可以得到相應的信息。>>詳細

　　技術觀瀾

　　BlackHeart勒索病毒再度來襲

　　BlackHeart(黑心)勒索病毒家族是一款使用NET語言進行編寫的勒索病毒，之前深信服EDR安全團隊已經報道過它的變種家族樣本捆綁知名的遠程軟件AnyDesk進行傳播，此次深信服EDR安全團隊發現的是它的一個家族的最新的變種，加密算法仍然使用AES+RSA，加密后的文件無法還原，加密后的文件后綴名為mariacbc。>>詳細

　　市面上多種流行的固態硬盤產品存在硬盤加密機制繞過漏洞

　　荷蘭奈梅亨拉德堡德大學研究人員發現，市面上多種流行的固態硬盤（ SSD drive）存在加密機制可繞過漏洞，無需密碼即可繞過硬盤加密措施，從而獲取到硬盤中的數據內容。>>詳細

　　200行代碼 一行行教你自制微信機器人

　　用一個windows客戶端工具運營公眾號，真的很局限。雖然工具的功能很強大，能自動添加好友，自動拉好友入群，關鍵字回復等等，但是有一個繞不開的點，它是一款客戶端工具，一款exe軟件。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年11月-05日-2018年11月11日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞172個，其中高危漏洞70個、中危漏洞89個、低危漏洞13個。漏洞平均分值為6.30。上周收錄的漏洞中，涉及0day漏洞47個（占27%），其中互聯網上出現“FoscamOpticam i5棧緩沖區溢出漏洞、Shipping System CMS SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　安卓（Android）是一種基于Linux的自由及開放源代碼的操作系統，由谷歌公司和開放手機聯盟領導及開發。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　CNVD收錄的相關漏洞包括：Google Android Framework權限提升漏洞（CNVD-2018-22761、CNVD-2018-22760、CNVD-2018-22762、CNVD-2018-22763、CNVD-2018-22764、CNVD-2018-22766、CNVD-2018-22765）、Google Android Mediaframework權限提升漏洞（CNVD-2018-22767）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM Robotic ProcessAutomation with Automation Anywhere是一套流程自動化解決方案。IBM DB2是一套關系型數據庫管理系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取root訪問權限，覆蓋系統上的文件，破壞數據庫，執行任意代碼等。

　　CNVD收錄的相關漏洞包括：IBM RoboticProcess Automation with Automation Anywhere信息泄露漏洞（CNVD-2018-22535、CNVD-2018-22536）、IBM RoboticProcess Automation with Automation Anywhere遠程代碼執行漏洞、IBM DB2權限訪問控制漏洞、IBM DB2提權漏洞（CNVD-2018-22924、CNVD-2018-22925、CNVD-2018-22927、CNVD-2018-22926）。其中，“IBM RoboticProcess Automation with Automation Anywhere遠程代碼執行漏洞、IBM DB2權限訪問控制漏洞、IBM DB2提權漏洞（CNVD-2018-22925、CNVD-2018-22926）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；tvOS是一套智能電視操作系統；watchOS是一套智能手表操作系統。Apple macOSSierra、macOS High Sierra和macOS Mojave都是專為Mac計算機所開發的不同版本的專用操作系統。Apple Supportfor iOS是一款基于iOS系統的在線支持應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，以系統權限執行任意代碼（內存破壞）。

　　CNVD收錄的相關漏洞包括：多款Apple產品Kernel代碼執行漏洞、Apple macOSSierra、macOS High Sierra和macOS Mojave dyld權限提升漏洞、Apple macOSSierra、macOS High Sierra和macOS Mojave IOGraphics代碼執行漏洞、Apple macOSSierra、macOS HighSierra和macOS Mojave Kernel代碼執行漏洞、Apple macOSMojave Kernel緩沖區溢出漏洞、Apple macOS High Sierra Grand Central Dispatch代碼執行漏洞、Apple iOSIOHIDFamily遠程代碼執行漏洞、Apple Support for iOS Analytics信息泄露漏洞。其中，除“Apple Supportfor iOS Analytics信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Mozilla產品安全漏洞

　　Mozilla Firefox是一款開源Web瀏覽器。Firefox ESR是Firefox的一個延長支持版本。Mozilla Firefox for Android是一款基于Android平臺的開源Web瀏覽器。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

　　CNVD收錄的相關漏洞包括：Mozilla Firefox混合內容漏洞、Mozilla Firefox ESR存在多個內存破壞漏洞、Mozilla Firefox for Android信息泄露漏洞、Mozilla Firefox欺騙漏洞、Mozilla Firefox和Firefox ESR權限提升漏洞、Mozilla Firefox和Firefox ESR未授權訪問漏洞、Mozilla Firefox和Firefox ESR任意代碼執行漏洞（CNVD-2018-22936、CNVD-2018-22935）。其中，“Mozilla Firefox ESR存在多個內存破壞漏洞、Mozilla Firefox和FirefoxESR權限提升漏洞、Mozilla Firefox和Firefox ESR任意代碼執行漏洞（CNVD-2018-22936、CNVD-2018-22935）”的綜合評級為“高?！?。

　　LiquidVPN For macOS權限提升漏洞

　　LiquidVPN For MacOS是一款基于MacOS平臺的用于匿名訪問互聯網的VPN軟件。上周，LiquidVPN For MacOS被披露存在權限提升漏洞。攻擊者可利用該漏洞獲取提升的權限。

　　小結

　　上周，Google被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。此外，IBM、Apple、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，以系統權限執行任意代碼（內存破壞）等。另外，LiquidVPN For MacOS被披露存在權限提升漏洞。攻擊者可利用該漏洞獲取提升的權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、中國網信網、驅動之家、cnBeta、CSDN、安全牛、FreebuF.COM報道

責任編輯：韓希宇