國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞198個，互聯網上出現“Mantis'manage_proj_page.php' PHP 代碼注入漏洞、Tarantella Enterprise路徑遍歷漏洞”等代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　踐行金融標準化 構筑支付安全防火墻

　　人民銀行發布的《2018年第三季度支付體系運行總體情況》顯示，第三季度，銀行業金融機構共處理電子支付業務452.36億筆，金額592.43萬億元。其中，網上支付業務148.93億筆，金額495.24萬億元，同比分別增長23.21%和12.58%。>>詳細

　　共建網絡可信良好生態 CFCA建言獻策

　　PKI技術主要是解決兩個問題，一是安全問題，一是法律問題，前者是技術層面的，后者突出的是PKI的法律屬性。從銀行、基金、證券、信托、保險、招投標、電子政務等較為傳統的場景到如今業內熱議的區塊鏈、物聯網這些新場景，均會涉及PKI技術的應用。>>詳細

　　征信公司“得數據者得天下” 行業監管難以覆蓋

　　我國法律還沒有明確規定哪些是個人數據、哪些數據能夠傳輸、數據應該脫敏到哪一步以及信息流轉的界限等，這些細則不規范，個人信息的流通和數據的使用就會陷入模棱兩可的階段。>>詳細

　　隱私安全逆風：原來我的隱私信息被扒得一干二凈

　　我的隱私數據都在被誰使用？這個問題如果是在2018年以前問，或許可能很多人都一笑了之。很多人在使用APP之前遇到的“隱私政策”彈窗，往往都是看都不看一眼，就點擊了同意。>>詳細

　　年度最差密碼：123456連續五年第一 特朗普名字上榜

　　“年度最差密碼排行榜（也稱年度最流行密碼）”是他們每年都會總結的一個榜單。與前幾年一樣，2018年也發生了許多備受矚目的數據泄露事件，但許多人仍在繼續為自己賬戶使用容易猜測的密碼。>>詳細

　　利用“手機號+驗證碼”盜刷 被廣州增城警方一舉抓獲

　　該團伙中主要負責制作偽基站設備的嫌疑人俞某，是一名醫院檢驗科醫生，從小癡迷于無線電，經常瀏覽關于無線電、電腦技術的論壇，在看到網上有人討論相關話題和設備，并且有市場需求，俞某便自己鉆研制作，再后在網上進行銷售。>>詳細

　　思科宣布以6.6億美元收購光學芯片制造商Luxtera

　　Luxtera開發了硅光子技術，這種技術將編碼成光子信息轉換成光纖直接傳輸到半導體中，極大地加快了數據傳輸速度。思科表示，Luxtera先進的芯片技術，將幫助思科滿足商業客戶對快速和高性能網絡服務的需求。>>詳細

　　外媒：富士康未與高通就專利訴訟進行和解談判

　　一直以來，蘋果都在使用高通的Modem芯片，以確保iPhone手機能夠連接無線數據網絡。但去年年初，蘋果將高通告上法庭，指控高通收取過高的芯片專利使用費，并拒絕歸還承諾退回的10億美元專利使用費。>>詳細

　　技術觀瀾

　　關于代碼審查 那些你不曾關注的細節

　　在工作中，我們都要進行代碼審查。每個人都知道代碼審查，每個人都會做代碼審查（至少我希望你會做）。但如果花點時間討論一下，你就會發現在“良好的代碼審查應該做些什么”這個問題上，可謂仁者見仁智者見智。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年12月10日-2018年12月16日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞198個，其中高危漏洞71個、中危漏洞108個、低危漏洞19個。漏洞平均分值為5.99。上周收錄的漏洞中，涉及0day漏洞29個（占15%），其中互聯網上出現“Mantis'manage_proj_page.php' PHP代碼注入漏洞、Tarantella Enterprise路徑遍歷漏洞”等代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Foxit產品安全漏洞

　　Foxit Reader for Windows是一款基于Windows平臺的PDF文檔閱讀器。Foxit PhantomPDF for Windows是它的商業版。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

　　CNVD收錄的相關漏洞包括：Foxit Reader 和Foxit PhantomPDF for Windows內存錯誤引用漏洞（CNVD-2018-25189、CNVD-2018-25190、CNVD-2018-25192、CNVD-2018-25193、CNVD-2018-25194、CNVD-2018-25195、CNVD-2018-25196、CNVD-2018-25197）。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM QRadar Advisor with Watson是一套安全威脅分析解決方案。IBM QRadar Incident Forensics是一套安全取證調查軟件。IBM DataPower Gateway是一套專門為移動、云、應用編程接口（API）、網絡、面向服務架構（SOA）、B2B和云工作負載而設計的安全和集成平臺，它可利用專用網關平臺跨渠道保護、集成和優化訪問。IBM SDK是一套用于創建、發現、調用和測試Web服務的集成工具包。IBM Campaign（前稱Unica Campaign）是一套用于幫助營銷人員設計、執行、衡量和優化營銷廣告的管理解決方案。IBM Security AccessManager是一款應用于信息安全管理的產品。IBM BigFix Platform是一套動態的集成了消息內容驅動和管理系統的多技術平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：IBM QRadar Advisor with Watson信息泄露漏洞、IBM QRadar IncidentForensics信息泄露漏洞（CNVD-2018-25037）、IBM DataPower Gateway拒絕服務漏洞、IBM SDK java.math組件拒絕服務漏洞、IBM Campaign 權限訪問控制漏洞、IBM Security Access Manager信息泄露漏洞（CNVD-2018-25399、CNVD-2018-25404）、IBM BigFix Platform信息泄露漏洞（CNVD-2018-25405）。其中，“IBMCampaign權限訪問控制漏洞”的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Siemens產品安全漏洞

　　SiemensSINUMERIK 808D等都是數控機床系統控制器。Siemens TIM 1531 IRC是一款通信模塊。Siemens EN100 EthernetCommunication Module是一款以太網模塊產品。SIPROTEC 5 relays是一款繼電器。Siemens SIMATIC S7-400是一款用于制造和過程自動化領域的可編程邏輯控制器產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞進行越界讀取，任意寫入，執行代碼，造成拒絕服務，影響系統的保密性、可用性和完整性。

　　CNVD收錄的相關漏洞包括：多款Siemens產品整數溢出漏洞、多款Siemens產品緩沖區溢出漏洞、多款Siemens產品本地訪問權限漏洞、多款Siemens產品遠程代碼執行漏洞、Siemens TIM 1531 IRC身份驗證漏洞、Siemens EN100 Ethernet Communication Module和SIPROTEC 5 relays拒絕服務漏洞、Siemens EN100 EthernetCommunication Module拒絕服務漏洞、Siemens SIMATIC S7-400輸入驗證漏洞。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Google Chrome是一款Web瀏覽器。Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。Google Kubernetes是一套開源的Docker 容器集群管理系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過權限策略，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Google Chrome權限繞過漏洞、Google Android緩沖區溢出漏洞（CNVD-2018-25279）、Google Chrome DevTools代碼執行漏洞、Google Chrome Skia任意代碼執行漏洞、Google Chrome ServiceWorker信息泄露漏洞、Google Chrome WebAssembly內存錯誤引用漏洞、Google Kubernetes權限訪問控制漏洞、Google Chrome PDFium內存錯誤引用漏洞（CNVD-2018-25308）。其中，除“Google Chrome ServiceWorker信息泄露漏洞”外，其余漏洞的綜合評級為為“高?！?。

　　Anker Nebula Capsule Pro拒絕服務漏洞

　　Anker Nebula Capsule Pro是一款投影儀設備。上周，Anker Nebula Capsule Pro被披露存在拒絕服務漏洞。攻擊者可借助特制的應用程序向WifiService發送數據利用該漏洞造成拒絕服務（底層Android 7.1.2操作系統重啟）。

　　小結

　　上周，Foxit被披露存在內存錯誤引用漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。此外，IBM、Siemens、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過權限策略，提升權限，執行任意代碼，發起拒絕服務攻擊等。另外，Anker Nebula Capsule Pro被披露存在拒絕服務漏洞。攻擊者可借助特制的應用程序向WifiService發送數據利用該漏洞造成拒絕服務（底層Android 7.1.2操作系統重啟）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、中國金融新聞網、新浪科技、騰訊科技、法治周末、CSDN、金羊網報道

責任編輯：韓希宇