國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞202個，互聯網上出現“ZyXELZyWALL USG跨站請求偽造漏洞、Nagios XI任意命令執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　工業和信息化部：開展網絡安全技術應用試點示范項目推薦工作

　　為深入貫徹落實《網絡安全法》，加快建設網絡強國和制造強國，促進網絡安全先進技術協同創新和應用部署，推廣網絡安全最佳實踐，提升網絡安全產業發展水平，工業和信息化部在組織三批電信和互聯網行業網絡安全試點示范的基礎上，決定開展網絡安全技術應用試點示范項目（以下簡稱示范項目）推薦工作。>>詳細

　　招行發布移動財資管理產品CBS App3.0

　　CBS APP3.0和頂級安全機構CFCA聯合打造CBS手機安全盾，提供了基于FIDO的統一身份認證體系，能夠實現免KEY支付驗證。此外，在APP應用本身，也采取多維度的安全保護策略，如數據權限企業統一控制、代碼混淆、反編譯等一系列防范手段。>>詳細

　　加速公積金行業信息化建設落地 CFCA無紙化方案添薪續力

　　CFCA通過為公積金中心搭建無紙化基礎設施平臺，結合互聯網技術與PKI技術，實現了專業的檔案管理與多模式的電子簽名應用，在大力推廣公積金服務線上化和無紙化的同時，保證了服務的安全性，為公積金中心綜合服務平臺保駕護航。>>詳細

　　匯豐銀行數據泄露金融信息安全亟須升級

　　隨著新一輪科技革命的蓄勢待發以及互聯網、大數據、云計算、人工智能等新興技術與金融領域的深入結合，全球銀行業對信息技術的應用得到全面提升，信息技術在給銀行業務辦理和組織運營帶來方便和高效的同時，也帶來了極大的安全隱患。>>詳細

　　基于內存計算技術的人工智能芯片問世

　　該芯片基于內存計算技術，旨在克服處理器需要花費大量時間和能量從內存中獲取數據的主要瓶頸，通過直接在內存中執行計算，提高速度和效率。>>詳細

　　泰爾實驗室預測：softSIM方案將被淘汰 TEE+eSIM應用前景廣闊

　　物聯網的世界里，傳統插拔SIM卡聯網的方式早已不適用，逐步取而代之的是eSIM。>>詳細

　　幽靈再現：數據泄露漏洞影響英特爾、AMD、ARM芯片

　　簡單講，惡意用戶和惡意軟件可利用這組處理器安全漏洞從內存中找出口令、加密密鑰等本不應被觸及的秘密。目前尚未發現此類漏洞的野生利用實例，但無論如何，它們都給半導體行業敲響了警鐘，芯片設計和工具鏈是必須做出改變了。>>詳細

　　技術觀瀾

　　Java內存模型原理 你真的理解嗎？

　　在介紹 Java 內存模型之前，我們先了解一下物理計算機中的并發問題，理解這些問題可以搞清楚內存模型產生的背景。物理機遇到的并發問題與虛擬機中的情況有不少相似之處，物理機的解決方案對虛擬機的實現有相當的參考意義。>>詳細

　　Python 常見安全漏洞及修復方法集合！

　　編寫安全的代碼很困難，當你學習一門編程語言、一個模塊或框架時，你會學習其使用方法。在考慮安全性時，你需要考慮如何避免代碼被濫用，Python也不例外，即使在標準庫中，也存在著許多糟糕的實例。>>詳細

　　這個入門級 AI 項目 讓 90% 的程序員一看就會！

　　隨著AI的發展，美國橡樹嶺國家實驗室的一些專家預測，到2040年，AI技術將會強大到足以替代程序員。AI技術將會強大到足以替代程序員，AI編寫軟件將比人類程序員更好、更快。換句話說，軟件編寫的軟件比人類編寫的更好。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年11月-12日-2018年11月18日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞202個，其中高危漏洞100個、中危漏洞81個、低危漏洞21個。漏洞平均分值為6.53。上周收錄的漏洞中，涉及0day漏洞82個（占41%），其中互聯網上出現“ZyXELZyWALL USG跨站請求偽造漏洞、Nagios XI任意命令執行漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Foxit產品安全漏洞

　　Foxit Reader for Windows是一款基于Windows平臺的PDF文檔閱讀器。Foxit PhantomPDF for Windows是它的商業版。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

　　CNVD收錄的相關漏洞包括：Foxit Reader和Foxit PhantomPDF for Windows內存錯誤引用漏洞（CNVD-2018-23229、CNVD-2018-23231、CNVD-2018-23232、CNVD-2018-23230、CNVD-2018-23233、CNVD-2018-23234、CNVD-2018-23235、CNVD-2018-23236）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　macOS是蘋果公司為Mac系列產品開發的專屬操作系統。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼，導致堆破壞。

　　CNVD收錄的相關漏洞包括：Apple macOS內存破壞漏洞（CNVD-2018-22950、CNVD-2018-22952、CNVD-2018-22951、CNVD-2018-22953、CNVD-2018-22955、CNVD-2018-22954、CNVD-2018-22956、CNVD-2018-22958）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM Maximo Asset Management是一套綜合性資產生命周期和維護管理解決方案。IBM Rational Collaborative Lifecycle Management（CLM）是一套協作化生命周期管理解決方案。IBM Rational QualityManager（RQM）是一套協作的、基于Web的質量管理解決方案。IBM WebSphere MQ Managed File Transfer是其中的一個用于管理系統中文件傳輸的工具。IBM MQ(前稱IBM WebSphere MQ)是一款消息傳遞中間件產品。IBM Security IdentityGovernance and Intelligence Virtual Appliance是一套身份管理和治理解決方案。IBM API Connect是一種綜合的端到端API生命周期解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：IBM Maximo AssetManagement跨站腳本漏洞（CNVD-2018-23091）、IBM Jazz Foundation信息泄露漏洞（CNVD-2018-23241）、多款IBM Rational產品信息泄露漏洞（CNVD-2018-23242）、IBM WebSphere MQ Managed File Transfer信息泄露漏洞、IBM MQ拒絕服務漏洞、IBM Security IdentityGovernance and Intelligence Virtual Appliance信息泄露漏洞、IBM API Connect信息泄露漏洞、IBM Rational Quality Manager權限提升漏洞。其中，“IBM Rational QualityManager權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Edge是微軟為Windows 10打造的瀏覽器。上周，該產品被披露存在信息泄露和內存破壞漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft EdgeChakra腳本引擎內存破壞漏洞（CNVD-2018-23213、CNVD-2018-23216、CNVD-2018-23215、CNVD-2018-23217、CNVD-2018-23218、CNVD-2018-23262、CNVD-2018-23263）、Microsoft Edge信息泄露漏洞（CNVD-2018-23281）。上述漏洞的綜合評級為“高?！?。

　　libIEC61850拒絕服務漏洞

　　libIEC61850是一個IEC 61850的開源庫。上周，libIEC61850被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒絕服務（空指針逆向引用）。

　　小結

　　上周，Foxit被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。此外，Apple、IBM、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊等。另外，libIEC61850被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒絕服務（空指針逆向引用）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、中國證券網、中國經營報、科技日報、通信世界網、安全牛、今日頭條、51CTO、CSDN報道

責任編輯：韓希宇