國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞375個，互聯網上出現“DolibarrERP-CRM 'rowid' SQL注入漏洞、Ampache存在多個反射型跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　中國銀聯發布2018安全調查報告 移動支付呈現5大特點

　　在歲末年初交替之際，中國銀聯帶您共同探究在過去的一年里，消費者在使用移動支付領域有哪些新趨勢、新變化，新風險，又該如何守護好自己的錢袋子。>>詳細

　　智慧物流建設按下“快進鍵” CFCA無紙化方案注入新動能

　　線上生成商品配送單并交付到物流企業，物流企業的運輸系統生成排程單，自動產生簽收單請用戶簽收的環節，使用代表各業務相關方身份的數字證書對以上單據加蓋數字證書，尤其是在用戶簽收過程中使用場景型數字證書記錄和固化用戶簽收場景證據，這對貨值較大的業務而言是極其有效的司法保障手段。>>詳細

　　霍學文：發展金融科技要打造好技術、安全、信任三個根基

　　擁有高度自主知識產權的核心技術是生存之本，金融科技產業也是一樣，我們要加強金融科技，尤其是信息安全科技的技術硬件建設。>>詳細

　　2019中國物聯網安全高峰論壇在京召開

　　物聯網發展的終極形態，將是廣泛互聯、應用融合、實時反饋、跨域交互、高度異構，這將成為物聯網泛在化的必然趨勢，并呈現出三個主要特點：一是規模大，應用廣；二是形態復雜多變；三是既有的邊界被打破。>>詳細

　　美國多家大銀行泄露大量貸款文件：數量達2400多萬份

　　泄露似乎可以追溯到德克薩斯州金融數據及分析公司Ascension，它提供數據分析、投資組合估值分析服務。在服務過程中，Ascension將紙制文檔、手寫文本轉化為計算機可以閱讀的文件。>>詳細

　　加拿大銀行業協會呼吁建立全國數字身份識別系統

　　近日加拿大政府已經就“開放式銀行”模式展開公眾意見征詢，支付系統現代化腳步不斷加快，區塊鏈和人工智能也開始走入日常生活，因此數字識別改革更是變得非常緊迫。>>詳細

　　大廠也難逃GDPR 谷歌、亞馬遜再遭投訴

　　許多企業的服務會設置自動化系統來響應訪問請求，但他們通常不會給每個用戶提供其詳細的數據信息。多數情況下，用戶只能獲取原始數據，但對于這些數據被誰共享、用于何處的情況并不知情。這便是GDPR中所說的結構性侵權，因為這些系統正是為了隱藏相關信息而構建的。>>詳細

　　美國多個賭博網站泄露1.08億條信息 包括支付卡資料

　　這些信息是從ElasticSearch服務器泄露的，并在網上流傳，不需要密碼就能獲得。>>詳細

　　技術觀瀾

　　技術分享|多種測試HTTP身份驗證的方法

　　HTTP基礎認證（BA）是實現對Web資源訪問控制的一種最簡單的技術，因為它不需要設計cookie、會話識別符或登錄頁面，HTTP基礎認證是需要使用到HTTP頭中的標準字段，而且還不需要進行握手。>>詳細

　　針對銀行木馬BokBot核心模塊的深入分析

　　BokBot惡意軟件具有強大的功能，分為命令和控制、模塊化兩類，具體功能包括：執行進程、注冊表編輯、寫入文件系統、登錄、混淆、防篡改、竊取憑據、攔截代理、通過VNC進行遠程控制。>>詳細

　　借助Rekall進行內存實時分析

　　工作中，使用過Volatility進行內存取證的朋友可能已經注意到了，它有一個缺點：無法進行實時內存分析。那么，如果需要實時內存取證的話，該怎么辦呢？別急，這時候Rekall就可以派上用場了。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2019年01月14日-2019年01月20日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞375個，其中高危漏洞110個、中危漏洞236個、低危漏洞29個。漏洞平均分值為5.86。上周收錄的漏洞中，涉及0day漏洞161個（占43%），其中互聯網上出現“DolibarrERP-CRM'rowid' SQL注入漏洞、Ampache存在多個反射型跨站腳本漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Adobe產品安全漏洞

　　Adobe Acrobat是一套PDF文件編輯和轉換工具，Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在越界讀取漏洞，攻擊者可利用漏洞獲取敏感信息。

　　CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader越界讀取漏洞（CNVD-2019-01912、CNVD-2019-01913、CNVD-2019-01914、CNVD-2019-01915、CNVD-2019-01916、CNVD-2019-01917、CNVD-2019-01918、CNVD-2019-01919）。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Google Chrome是一款Web瀏覽器。Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Google Chrome V8緩沖區溢出漏洞（CNVD-2019-01111）、Google Chrome WebAssembly代碼執行漏洞、Google Android越界寫入漏洞（CNVD-2019-01560、CNVD-2019-01561）、Google Android Kernel權限提升漏洞（CNVD-2019-01596）、Google Android遠程代碼執行漏洞（CNVD-2019-01597、CNVD-2019-01598、CNVD-2019-01601）。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Email Security Appliance(ESA)是一個電子郵件安全設備。AsyncOS Software是使用在其中的操作系統。Cisco Integrated Management Controller（IMC）Supervisor是一套用于對UCS（統一計算系統）進行管理的工具，它支持HTTP、SSH訪問等，并可對服務器進行開機、關機和重啟等操作。Cisco Registered Envelope Service是一套郵件服務解決方案。Cisco Adaptive Security Appliances（ASA，自適應安全設備）Software是一套運行于防火墻中的操作系統。Cisco Firepower Threat Defense（FTD）Software一套提供下一代防火墻服務的統一軟件。Cisco IOS Software 和IOSXE Software都是為其網絡設備開發的操作系統。Cisco Prime CollaborationAssurance（PCA）是一套企業協作網絡管理解決方案。Cisco IOS Access Points（APs）Software是一套用于管理控制訪問接入點設備的軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Cisco Email Security Appliance S/MIME拒絕服務漏洞、Cisco Policy Suite forMobile和Policy Suite Diameter Routing Agent訪問繞過漏洞、Cisco Integrated Management Controller Supervisor SQL注入漏洞、Cisco Registered Envelope Service信息泄露漏洞、Cisco Adaptive Security Appliance Software和Cisco Firepower Threat Defense Software拒絕服務漏洞、Cisco IOS 和IOS XE Software拒絕服務漏洞（CNVD-2019-01903）、Cisco Prime Collaboration Assurance跨站請求偽造漏洞（CNVD-2019-01908）、Cisco IOS Access Points Software 拒絕服務漏洞。其中，除“Cisco Registered Envelope Service信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple macOS Sierra、macOSHigh Sierra和macOS Mojave都是美國蘋果（Apple）公司為Mac計算機所開發的不同版本的專用操作系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，繞過管理員身份驗證（無需管理員密碼），執行任意代碼。

　　CNVD收錄的相關漏洞包括：Apple macOS High Sierra Apple Graphics Power Management緩沖區溢出漏洞、Apple macOS High Sierra Apple Graphics Control緩沖區溢出漏洞、Apple macOS Sierra Remote Management權限漏洞、Apple macOS High SierraAMD輸入驗證漏洞、Apple macOS High Sierra Security邏輯缺陷漏洞、Apple macOS High Sierra Kernel越界讀取漏洞（CNVD-2019-01542）、Apple macOS High Sierra APFS邏輯缺陷漏洞、Apple macOS Intel Graphics Driver內存錯誤引用漏洞。上述漏洞的綜合評級為為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　多款Tenda產品httpd緩沖區溢出漏洞（CNVD-2019-01888）

　　Tenda AC7等都是中國騰達（Tenda）公司的無線路由器產品。httpd是其中的一個HTTP服務器組件。上周，多款Tenda產品中的httpd被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞造成拒絕服務（覆蓋函數的返回值）。

　　小結

　　上周，Adobe被披露存在越界讀取漏洞，攻擊者可利用漏洞獲取敏感信息。此外，Google、Cisco、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，升權限，繞過管理員身份驗證（無需管理員密碼），執行任意代碼，發起拒絕服務攻擊等。另外，多款Tenda產品httpd被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞造成拒絕服務（覆蓋函數的返回值）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、新浪科技、經濟參考報、移動支付網、未央網、FreebuF.COM、嘶吼RoarTalk報道

責任編輯：韓希宇