國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞138個，互聯網上出現“TP-LinkArcher C5遠程命令執行漏洞、WordPress插件Audio Record任意文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　記《第三方支付服務信息系統的安全目的》標準草案進程

　　如何確保TPP的安全性，既能保護“錢袋子”，又能適應TPP的發展？在國內，我國2015年就推出了GB/T 31502-2015《信息安全技術電子支付系統安全保護框架》，為構建、運行安全的公共電子支付系統，包括第三方支付的模式，提供了基本框架。>>詳細

　　CFCA全程移動電子招投標方案：一部手機讓你“放心招”“安全投”

　　CFCA全程移動電子招投標方案融入了自主研發的移動證書產品，以手機為安全載體，能讓用戶極速獲取移動證書，完全不受時間和空間的限制。同時，該方案去插件化的實現，也有效提升了實際應用中的便捷性、兼容性與穩定性。>>詳細

　　數據泄露事件頻發 美國版GDPR或將出臺

　　近日在美國舊金山召開的Aspen網絡峰會上，德州議會代表兼眾議院監督與政府改革委員會主席WillHurd就表示，未來美國也很有可能推出一款類似GDPR的數據監管法案。>>詳細

　　無密碼快捷支付安全嗎？

　　支付平臺設置的賬號進入程序應該做好必要風險防范，僅憑一個手機號碼或僅通過手機號碼驗證碼就可以登錄賬戶完成支付，會造成巨大的安全隱患。>>詳細

　　微信/QQ即將完成IPv6改造 IPv6何以被巨頭當作“戰略”推進？

　　當前，推進我國Ipv6主要工作在以下幾個層面：實施LTE網絡端到端的Ipv6改造；加快固定網絡基礎設施Ipv6改造；推進應用基礎設施網絡改造；開展政府網站網絡改造和工業互聯網的網絡應用；強化網絡網絡安全工作；落實配套保障措施。>>詳細

　　技術觀瀾

　　Electrum輕錢包釣魚事件簡析

　　近期比特幣輕錢包electrum的部分用戶遭到了定向的釣魚彈窗攻擊，用戶在使用electrum輕錢包轉賬的時候提示轉賬失敗。>>詳細

　　如何在內存中檢測惡意軟件

　　內存攻擊常見的技術包括shellcode注入，反射式DLL注入，內存模塊，Process Hollowing，重寫模塊以及Gargoyle（ROP / APC）。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年12月31日-2019年01月06日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞138個，其中高危漏洞44個、中危漏洞78個、低危漏洞16個。漏洞平均分值為5.94。上周收錄的漏洞中，涉及0day漏洞75個（占54%），其中互聯網上出現“TP-LinkArcher C5遠程命令執行漏洞、WordPress插件Audio Record任意文件上傳漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Internet Explorer（IE）是一款Web瀏覽器，是Windows操作系統附帶的默認瀏覽器。Microsoft Windows Server 2019、Windows 10等都是美國微軟（Microsoft）公司發布的一系列操作系統。Microsoft Windows7 SP1是一套個人電腦使用的操作系統。Windows Server 2008 R2 SP1是一套服務器使用的操作系統。Microsoft .NET Framework是編程模型，也是一個用于構建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的應用程序的開發平臺。Open Data Protocol （開放數據協議，OData）是用來查詢和更新數據的一種Web協議，其提供了把存在于應用程序中的數據暴露出來的方式，該標準由微軟發起。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，破壞內存，導致拒絕服務。

　　CNVD收錄的相關漏洞包括：Microsoft Internet Explorer腳本引擎遠程代碼執行漏洞、Microsoft Windows本地權限提升漏洞（CNVD-2019-00337）、Microsoft Windows SMB服務器信息泄露漏洞、Microsoft Windows SMB服務器拒絕服務漏洞、Microsoft .NET Framework遠程執行代碼漏洞、Microsoft Jet Database Engine緩沖區溢出漏洞（CNVD-2019-00354）、Microsoft OData拒絕服務漏洞、Microsoft Windows GDI Component信息泄露漏洞。其中，“Microsoft Internet Explorer腳本引擎遠程代碼執行漏洞、Microsoft WindowsSMB服務器拒絕服務漏洞、Microsoft .NET Framework遠程執行代碼漏洞、Microsoft Jet Database Engine緩沖區溢出漏洞（CNVD-2019-00354）”的綜合評級為為“高?！薄?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Adaptive Security Appliances（ASA，自適應安全設備）Software是一套運行于防火墻中的操作系統。Cisco Prime Collaboration Assurance（PCA）是一套企業協作網絡管理解決方案。Cisco Energy ManagementSuite（CEMS）是一套能源管理套件。Cisco Video Surveillance Media Server是一套監控視頻管理解決方案。Cisco Firepower System Software是一款下一代防火墻產品（NGFW）。Cisco Small Business 200 Series Smart Switches是小型智能交換機設備。Small Business Switches Software是一套運行在其中的交換機軟件。Cisco Content Security Management Appliance（SMA）是一套內容安全管理設備。Cisco Energy ManagementSuite是一套能源管理套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取和寫入信息，執行未授權操作，提升權限，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Cisco Adaptive Security Appliances Software authorization子系統遠程權限提升漏洞、Cisco Prime Collaboration Assurance任意文件覆蓋漏洞、Cisco Energy Management Suite訪問繞過漏洞、Cisco Video Surveillance Media Server拒絕服務漏洞、Cisco Firepower System Software安全繞過漏洞（CNVD-2019-00344）、Cisco Small Business Switches身份驗證繞過漏洞、Cisco Content Security Management Appliance跨站腳本漏洞、Cisco Energy Management Suite XML外部實體注入漏洞。其中，“Cisco Adaptive Security Appliances Software authorization子系統遠程權限提升漏洞、Cisco Small Business Switches身份驗證繞過漏洞、Cisco Energy Management Suite XML外部實體注入漏洞”的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升和緩沖區溢出漏洞，攻擊者可利用漏洞提升權限，造成拒絕服務或執行代碼。

　　CNVD收錄的相關漏洞包括：Google Android Qualcomm組件權限提升漏洞（CNVD-2019-00122、CNVD-2019-00123）、Google Android Qualcomm組件緩沖區溢出漏洞（CNVD-2019-00124、CNVD-2019-00125、CNVD-2019-00127）、Google Android Kernel組件權限提升漏洞（CNVD-2019-00129、CNVD-2019-00130、CNVD-2019-00131）。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　SugarCRM品安全漏洞

　　SugarCRM是一套開源的客戶關系管理系統（CRM）。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞從數據庫中讀取敏感數據，注入和執行任意的PHP代碼等。

　　CNVD收錄的相關漏洞包括：SugarCRM (WorkFlow module)PHP代碼注入漏洞、SugarCRM (WorkFlow module)PHP代碼注入漏洞、SugarCRM(portal_get_related_notes) SQL注入漏洞、SugarCRM (Web Logic Hooksmodule) PHP代碼注入漏洞、SugarCRM(ConnectorsController)服務器端請求偽造漏洞、SugarCRM (SaveDropDown)PHP代碼注入漏洞、SugarCRM (Web Logic Hooksmodule)路徑遍歷漏洞、SugarCRM (addLabels) PHP代碼注入漏洞。其中，“SugarCRM (portal_get_related_notes) SQL注入漏洞”的綜合評級為為“高?！?。

　　Linux kernel拒絕服務漏洞（CNVD-2019-00366）

　　Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，Linux kernel被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成系統崩潰。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Microsoft被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，破壞內存，導致拒絕服務。此外，Cisco、Google、SugarCRM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞從數據庫中讀取敏感數據，執行未授權操作，提升權限，造成拒絕服務或執行代碼等。另外，Linux kernel被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成系統崩潰。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、金融電子化、經濟日報、未央網、雷鋒網、FreebuF.COM、嘶吼RoarTalk報道

責任編輯：韓希宇