國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞414個，互聯網上出現“WordPress插件AutoSuggest'wpas_keys' SQL注入漏洞、libxls拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　【中國人民銀行科技司司長 李偉】金融科技賦能支付服務提質增效

　　身份認證是支付交易的關鍵環節，是保護用戶資金和信息安全的重要“閘門”。傳統銀行卡支付為保證交易真實性和不可抵賴性，需要消費者在支付受理終端輸入密碼并在簽購單簽名認證，流程較為繁瑣、操作相對復雜。>>詳細

　　重磅！阿里達摩院發布《2019十大科技趨勢》

　　生物識別技術正逐漸成熟并進入大規模應用階段。隨著3D傳感器的快速普及、多種生物特征的融合，每個設備都能更聰明地“看”和“聽”。生物識別和活體技術也將重塑身份識別和認證，數字身份將成為人的第二張身份證。>>詳細

　　現已經發現62例木馬 個人所得稅App上線首日被病毒盯上

　　“個人所得稅App”已經被惡意廣告木馬盯上，僅僅在上線第一天（12月27日），就從中檢測出了62例偽裝木馬病毒。該實驗室專家還同時預測元旦之后偽裝木馬病毒將迎來爆發式增長。>>詳細

　　470萬條12306用戶數據疑遭泄露 警方證實有人被刑拘

　　陳某供述60余萬條用戶注冊信息，系其前期在網上非法購買所得，并非通過對12306官方網站技術入侵獲取。其余410余萬條鐵路乘客信息，系其利用上述用戶注冊信息，通過第三方網絡訂票平臺非法獲取。>>詳細

　　智能門鎖還安全嗎？黑客用假手破解靜脈識別

　　很快這些解鎖方式的應用范圍也逐漸擴大，很多智能門鎖也用上了指紋，甚至據說更加安全的靜脈解鎖。但是這些解鎖方式真的是無比安全的嗎？近期就有黑客用假手成功破解了靜脈識別認證。>>詳細

　　任正非致全體員工信：把網絡安全和隱私保護作為公司的最高綱領

　　信息的使用政策應該是對用戶透明的。用戶應該根據自己的需要來控制何時接收以及是否接收信息。用戶的隱私數據要有完善的保護能力和機制。>>詳細

　　技術觀瀾

　　偽裝成“發票到期”電子郵件 傳播Neutrino僵尸網絡

　　Neutrino屬于Kasidet家族，此次病毒通過偽裝成“發票到期”的電子郵件并且帶有密碼保護的附件進行傳播，帶有密碼保護的電子郵件可能會給人一種安全感。>>詳細

　　你是否真的懂數組？

　　說道數組，幾乎每個IT江湖人士都不陌生，甚至過半人還會很自信覺的它很簡單。的確，在菜菜所知道的編程語言中幾乎都會有數組的影子。不過它不僅僅是一種基礎的數據類型，更是一種基礎的數據結構。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年12月24日-2018年12月30日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞414個，其中高危漏洞166個、中危漏洞219個、低危漏洞29個。漏洞平均分值為6.21。上周收錄的漏洞中，涉及0day漏洞245個（占59%），其中互聯網上出現“WordPress插件AutoSuggest'wpas_keys' SQL注入漏洞、libxls拒絕服務漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Adobe產品安全漏洞

　　Adobe Acrobat是一套PDF文件編輯和轉換工具，Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader任意代碼執行漏洞（CNVD-2018-26551、CNVD-2018-26552、CNVD-2018-26553、CNVD-2018-26554、CNVD-2018-26555、CNVD-2018-26556、CNVD-2018-26559、CNVD-2018-26560）。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows是美國微軟（Microsoft）公司發布的一系列操作系統。Microsoft ChakraCore是一個Edge（Web瀏覽器）所使用的JavaScript引擎的核心部分。Internet Explorer（IE）是其中的一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在權限提升和遠程代碼執行漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，破壞內存。

　　CNVD收錄的相關漏洞包括：Microsoft ChakraCore和Edge遠程代碼執行漏洞（CNVD-2018-26972、CNVD-2018-26971）、Microsoft Internet Explorer遠程代碼執行漏洞（CNVD-2018-26979）、Microsoft Windows Registry本地權限提升漏洞、Microsoft Windows MSXML遠程執行代碼漏洞、Microsoft ChakraCore遠程代碼執行漏洞（CNVD-2018-26985、CNVD-2018-26987）、Microsoft ChakraCore和WindowsEdge遠程代碼執行漏洞。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM DataPower Gateway是一套專門為移動、云、應用編程接口（API）、網絡、面向服務架構（SOA）、B2B和云工作負載而設計的安全和集成平臺。MQ Appliance是一款用于快速部署企業級消息中間件的一體機設備。IBM Connections是一套社交軟件平臺。IBM Marketing Platform是一套營銷平臺。IBM Security Guardium是一套提供數據保護功能的平臺。IBM BigFix Platform是一套動態的集成了消息內容驅動和管理系統的多技術平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息或消耗內存資源等。

　　CNVD收錄的相關漏洞包括：IBM DataPower Gateway和MQ Appliance拒絕服務漏洞、IBM Connections信息泄露漏洞（CNVD-2018-26361）、IBM Marketing Platform XML外部實體注入漏洞（CNVD-2018-26362、CNVD2018-26364）、IBM DataPower Gateway信息泄露漏洞（CNVD-2018-26363）、IBM Security Guardium信息泄露漏洞（CNVD-2018-26895）、IBM Operational DecisionManager XML外部實體注入漏洞（CNVD-2018-26896）、IBM BigFix Platform信息泄露漏洞（CNVD-2018-26899）。其中，“IBM Marketing Platform XML外部實體注入漏洞（CNVD-2018-26362、CNVD-2018-26364）、IBM Operational Decision Manager XML外部實體注入漏洞（CNVD-2018-26896）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。WebKit是KDE、蘋果（Apple）、谷歌（Google）等公司共同開發的一套開源Web瀏覽器引擎，目前被Apple Safari及Google Chrome等瀏覽器使用。Apple macOS Mojave是一套專為Mac計算機所開發的專用操作系統。Apple macOS Sierra是為Mac計算機所開發的一套專用操作系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，偽造UI，提升權限，執行任意代碼，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Apple macOS Mojave Intel GraphicsDriver未初始化內存信息泄露漏洞、Apple iOS libxpc權限提升漏洞、多款Apple產品WebKit拒絕服務漏洞（CNVD-2018-26497）、Apple macOS Security拒絕服務漏洞、Apple macOS Spotlight內存破壞漏洞、多款Apple產品WebKit內存破壞漏洞（CNVD-2018-26502）、Apple iOS Messages UI欺騙漏洞（CNVD-2018-26503、CNVD-2018-26504）。其中，“Apple macOS Spotlight內存破壞漏洞、多款Apple產品WebKit內存破壞漏洞（CNVD-2018-26502）”的綜合評級為為“高?！?。

　　ASUS Aura Sync任意代碼執行漏洞

　　ASUS Aura Sync是一套燈效管理軟件。上周，ASUS Aura Sync被披露存在任意代碼執行漏洞。本地攻擊者可利用該漏洞執行任意的ring-0代碼。

　　小結

　　上周，Adobe被披露存在任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。此外，Microsoft、IBM、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，偽造UI，提升權限，執行任意代碼，破壞內存，發起拒絕服務攻擊等。另外，ASUS Aura Sync被披露存在任意代碼執行漏洞。本地攻擊者可利用該漏洞執行任意的ring-0代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、金融電子化、每日經濟新聞、環球網、cnBeta、雷鋒網、太平洋電腦網、嘶吼RoarTalk、CSDN報道

責任編輯：韓希宇