國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞177個，互聯網上出現“D-LinkDIR-818LW Rev.A和DIR-860L Rev.B操作系統命令注入漏洞、Webmin遠程命令執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　APP收集信息應有認證標準

　　今年1月份至12月份在全國范圍內針對消費者集中反映的APP強制授權、過度授權、超范圍收集個人信息等突出問題，組織開展APP違法違規收集使用個人信息專項治理。>>詳細

　　回顧│2018年，這些SSL大事件，你應該知道！

　　中國金融認證中心（CFCA）作為CA/B論壇的重要成員，在2018年成功舉辦第45次論壇會議，CFCA全球信任服務器證書，支持TLS1.2/TLS1.3調用，并積極探索SM2/SM3等中國商用密碼算法的應用推廣。>>詳細

　　AI都能偽造指紋了 生物識別還安全嗎？

　　人工智能技術還能夠利用人眼和計算機認知方式的不同，在指紋圖像中嵌入某些隱藏屬性，雖然肉眼看不出來，但計算機可抓取這些信息，達到利用偽造指紋圖像進行身份識別的目的。>>詳細

　　支付清算協會發布條碼支付受理終端和客戶端檢測規范，2月1日正式實施！

　　為落實中國人民銀行和中國國家認證認可監督管理委員會關于支付技術產品認證工作的要求，加強支付技術產品檢測認證工作的自律管理，中國支付清算協會安全與技術標準專業委員會起草了《條碼支付受理終端檢測規范》和《條碼支付移動客戶端軟件檢測規范》。>>詳細

　　賽門鐵克發布2019年及未來網絡安全趨勢預測

　　近年來，人們期待已久的人工智能技術商用逐漸成為現實，并在許多商業領域中得到應用。盡管AI系統能夠自動執行任務，幫助增強決策能力，但由于系統中存儲大量數據，因為成為了潛在攻擊目標。>>詳細

　　蘋果回應FaceTime電話竊聽漏洞：本周晚些時候解決

　　這個漏洞造成了一個相當大的隱私問題，因為人們基本上可以通過這一途徑監聽任何iOS用戶，盡管它看起來很正常，但是接收方那里并沒有任何跡象表明，打FaceTime的人能聽到他們的聲音。>>詳細

　　勒索病毒任性漫天要價：三日內1個比特幣

　　勒索病毒是黑客通過鎖屏、加密等方式劫持用戶設備或文件，并以此敲詐用戶錢財的惡意軟件。黑客利用系統漏洞或通過網絡釣魚等方式，向受害電腦或服務器植入病毒，加密硬盤上的文檔乃至整個硬盤，然后向受害者索要數額不等的贖金后才予以解密。>>詳細

　　美國法院力挺生物識別隱私法 科技公司收集指紋/面部數據受限

　　伊利諾伊州最高法院日前駁回了一起訴訟，該案本來會削弱限制科技公司使用面部識別和其他生物識別技術的法律。此舉被視為美國隱私倡導者贏得的一場關鍵法庭勝利。>>詳細

　　技術觀瀾

　　影響62億臺設備：解讀我是如何發現Marvell Avastar Wi-Fi遠程代碼執行漏洞的

　　Wi-Fi的加密狗可以分為兩大類：FullMAC和SoftMAC。二者都需要固件映像，在每次設備啟動時都應該上傳。設備制造商會提供適當的固件映像和操作系統設備驅動程序，所以在啟動期間，驅動程序可以上載固件，從而使其主要功能可以被Wi-Fi SoC使用。>>詳細

　　俄語垃圾郵件推送Redaman銀行惡意軟件

　　Redaman于2015年首次被發現，它是針對使用俄羅斯金融機構進行交易的客戶的惡意軟件。最初它被報告為RTM銀行木馬，2017年Symantec和Microsoft等廠商將該惡意軟件的更新版本描述為Redaman。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2019年01月21日-2019年01月27日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞177個，其中高危漏洞65個、中危漏洞94個、低危漏洞18個。漏洞平均分值為6.01。上周收錄的漏洞中，涉及0day漏洞46個（占26%），其中互聯網上出現“D-LinkDIR-818LW Rev.A和DIR-860L Rev.B操作系統命令注入漏洞、Webmin遠程命令執行漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Windows 7 SP1是一套個人電腦使用的操作系統。Microsoft Windows 10是一套供個人電腦使用的操作系統.Windows Server 2016是一套服務器操作系統。Windows Server 2008 SP2是一套服務器操作系統。Microsoft Windows Server 2012 R2等都是美國微軟（Microsoft）公司發布的一系列服務器操作系統。Microsoft Project是一套適用于項目組合管理（PPM）和日常工作的項目管理解決方案。

　　該方案支持為任務分配資源、進度跟蹤和預算管理等。Microsoft Internet Explorer（IE）是一款Web瀏覽器。Office 2010 SP2是一套辦公套件。Microsoft MSHTML engine是其中的一個用于解析HTML語言的引擎。Microsoft Excel是微軟公司的辦公軟件Microsoft office的組件之一，是由Microsoft為Windows和Apple Macintosh操作系統的電腦而編寫和運行的一款試算表軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft DirectX權限提升漏洞（CNVD-2019-02495）、Microsoft Windows跨站腳本漏洞（CNVD-2019-02770）、Microsoft Graphics遠程代碼執行漏洞、Microsoft Windows權限提升漏洞（CNVD-2019-02775）、Microsoft Project遠程代碼執行漏洞、Microsoft MSHTML引擎輸入驗證漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2019-02780、CNVD-2019-02784）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Small Business RV320和RV325都是美國思科（Cisco）公司的企業級路由器。CiscoSD-WAN Solution是運行在思科系統上的一套網絡擴展解決方案。Cisco Webex Business Suite WBS32 sites等都是美國思科（Cisco）公司的視頻會議解決方案。Cisco Webex Network Recording Player和WebexPlayer都是其中的用于播放視頻會議記錄的播放器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。CNVD收錄的相關漏洞包括：Cisco Small Business RV320和RV325命令注入漏洞、Cisco Small Business RV320和RV325信息泄露漏洞、Cisco SD-WAN Solution緩沖區溢出漏洞、Cisco Webex Network Recording Player和Webex Player for Windows緩沖區溢出漏洞（CNVD-2019-02786、CNVD-2019-02787、CNVD-2019-02788、CNVD-2019-02789、CNVD-2019-02790）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器；tvOS是一套智能電視操作系統；watchOS是一套智能手表操作系統；iCloud for Windows是一款基于Windows平臺的云服務。macOS Mojave是一套為Mac計算機所開發的專用操作系統。ApplemacOS High Sierra是美國蘋果（Apple）公司的一套專為Mac計算機所開發的專用操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過沙盒限制，注入任意的Web腳本或HTML，提升權限，執行任意代碼（內存破壞）。

　　CNVD收錄的相關漏洞包括：多款Apple產品內存破壞漏洞（CNVD-2019-02753）、多款Apple產品沙盒繞過漏洞、多款Apple產品跨站腳本漏洞（CNVD-2019-02756）、多款Apple產品沙盒繞過漏洞（CNVD-2019-02757）、多款Apple產品越界讀取漏洞（CNVD-2019-02758、CNVD-2019-02759、CNVD-2019-02760、CNVD-2019-02761）。其中，除“多款Apple產品跨站腳本漏洞（CNVD-2019-02756）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Red Hat品安全漏洞

　　Red Hat 389 Directory Server（前稱Fedora Directory Server）是一款企業級的Linux目錄服務器。Red Hat Gluster是一套開源的分布式文件系統。Red Hat Gluster Storage是一個用于軟件的橫向擴展存儲軟件包，它能夠提供非結構化的數據存儲方式。Red Hat Ceph Storage是一套可擴展的、開放性的軟件定義存儲平臺。Red Hat PolicyKit（又名Polkit）是一個用于在Unix兼容系統中對應用程序進行權限控制的工具。Red Hat Ceph是一套Linux PB級分布式文件系統。Red Hat Virtualization是推出的一套針對服務器和桌面的虛擬化管理解決方案（企業虛擬化平臺），它可提供實時遷移、負載平衡等功能。Red Hat VirtualizationHost是一款虛擬主機。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過保護機制，執行未授權操作，執行任意命令，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Red Hat 389 DirectoryServer拒絕服務漏洞（CNVD-2019-02473）、Red Hat Gluster未授權操作漏洞、RedHat Gluster Storageglusterfs server拒絕服務漏洞、Red Hat Ceph Storage ceph-isci-cli包遠程命令注入漏洞、Red Hat PolicyKit未授權訪問漏洞、Red Hat Ceph未授權訪問漏洞、Red Hat Ceph拒絕服務漏洞（CNVD-2019-02480）、Red Hat Virtualization和Virtualization Host拒絕服務漏洞。其中，“Red Hat 389 Directory Server拒絕服務漏洞（CNVD-2019-02473）、Red Hat Gluster未授權操作漏洞、Red Hat Ceph Storage ceph-isci-cli包遠程命令注入漏洞”的綜合評級為“高?！?。目前，除“Red Hat 389 DirectoryServer拒絕服務漏洞（CNVD-2019-02473）”外，廠商已經發布了其余漏洞的修補程序。

　　Apache HTTP Server拒絕服務漏洞

　　Apache HTTP Server是美國阿帕奇（Apache）軟件基金會的一款開源網頁服務器。上周，Apache HTTP Server被披露存在拒絕服務。攻擊者可利用該漏洞造成拒絕服務。

　　小結

　　上周，Microsoft被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Cisco、Apple、RedHat等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過沙盒限制，執行未授權操作，注入任意的Web腳本或HTML，提升權限，執行任意代碼（內存破壞），發起拒絕服務攻擊等。另外，Apache HTTP Server被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、證券日報、經濟日報、騰訊科技、科技日報、TechWeb、移動支付網、中關村在線、嘶吼RoarTalk報道

責任編輯：韓希宇