國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞205個，互聯網上出現“MicrosoftWindows .CONTACT File/HTML InjectionMailto:遠程代碼執行漏洞、Allen-Bradley PowerMonitor 1000跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　數據安全問題引擔憂 如何給用戶一顆“定心丸”？

　　在數據安全的風險挑戰下，全球已經進入空前重視個人數據與隱私保護的時代。我國已經把《個人信息保護法》納入立法規劃，公安部也開展了首次針對大數據安全的整治工作。>>詳細

　　App違規授權成重災區 網絡安全立法醞釀大突破

　　在這一過程中，還需進一步確定一個國家機關來專門負責“自然人信息保護”工作，同時也需要對《行政處罰法》《網絡安全法》等再做相應具體修改，有專家還建議單獨制定一部《自然人信息保護法》。>>詳細

　　專家：辯證看待“隱私換便利” 實現數據合規使用

　　受訪專家多數認同，用戶享受了大數據帶來的便利，但這并不應是簡單的“用隱私換便利”。尤其是對于某些所謂的“大數據殺熟”、“販賣用戶隱私數據”等現象，有關部門更應加以規范引導，并適時修訂、制定“嚴刑峻法”予以制裁。>>詳細

　　蘋果企業開發者證書遭利用 盜版商發布破解版iPhone應用

　　非法軟件分銷商TutuApp、Panda Helper、AppValley及TweakBox已找到方法來利用數字證書訪問蘋果面向企業推出的一個項目。該項目允許企業在未通過蘋果App Store的情況下，可向其員工發布企業應用。>>詳細

　　信息安全人人平等 谷歌推出低性能安卓手機加密技術

　　數據加密是一種保護個人信息免受竊取的防衛技術，Adiantum的設計目的是加密安卓手機上的存儲信息，以確保用戶文件的安全性和隱私性。>>詳細

　　谷歌邁出了“干掉”URL的第一步

　　在灣區Enigma安全會議的一次演講中，Chrome可用性安全主管Emily Stark便再次提及了這項富有爭議的想法，并詳細介紹了Google為實現這一目標正在進行的一系列重大變革。>>詳細

　　區塊鏈正在應用于正在興起的網絡安全運動

　　盡管有關加密貨幣和交易所的黑客和欺騙的新聞鋪天蓋地，但事實仍然是，真正的區塊鏈在其不可改變和無法破解的本質中仍未被破壞。>>詳細

　　首例技術定位侵犯公民個人信息案偵破后 黑市仍在叫賣

　　近日，江蘇南京警方破獲一起通過技術定位，侵犯公民個人信息案，這起案件在全國也屬首例。去年1月，陳某在飯店吃飯時被討債人圍堵，隨后陳某報案，警方調查發現，討債人是通過一款即時定位軟件找到的陳某。>>詳細

　　白帽黑客展示了內置Wi-Fi的惡意Lightning數據線

　　一名黑客利用一個隱藏的Wi-Fi芯片開發了一種驗證概念的Lightning數據線，以說明不受信任的附件可能帶來的威脅，該芯片可以讓黑客獲得對Mac的控制權。>>詳細

　　技術觀瀾

　　HTTP/3來啦 你還在等什么？趕緊了解一下

　　當IETF開始進行協議標準化工作時，協議被分為兩層：傳輸部分和HTTP部分。這個想法的初衷是考慮到該傳輸協議也可用于傳輸其他數據，而不僅僅用于HTTP或類HTTP協議，但名字仍然為QUIC。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2019年01月28日-2019年02月10日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞205個，其中高危漏洞51個、中危漏洞134個、低危漏洞20個。漏洞平均分值為5.80。上周收錄的漏洞中，涉及0day漏洞68個（占33%），其中互聯網上出現“MicrosoftWindows.CONTACT File/HTML InjectionMailto:遠程代碼執行漏洞、Allen-Bradley PowerMonitor1000跨站腳本漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升和拒絕服務漏洞，攻擊者可利用漏洞提升權限，造成拒絕服務。

　　CNVD收錄的相關漏洞包括：Google Android System權限提升漏洞（CNVD-2019-03705、CNVD-2019-03707、CNVD-2019-03706、CNVD-2019-03708）、Google Android System組件權限提升漏洞（CNVD-2019-03702、CNVD-2019-03709、CNVD-2019-03710、CNVD-2019-03711）。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS為移動設備所開發的一套操作系統；macOS High Sierra是為Mac計算機所開發的一套專用操作系統；tvOS是一套智能電視操作系統。Safari是一款Web瀏覽器，是Mac OSX和iOS操作系統附帶的默認瀏覽器。watchOS是一套智能手表操作系統。iCloudfor Windows是一款基于Windows平臺的云服務。上周，上述產品被披露存在緩沖區溢出和內存破壞漏洞，攻擊者可利用漏洞執行任意代碼（內存破壞）。

　　CNVD收錄的相關漏洞包括：多款Apple產品FaceTime緩沖區溢出漏洞、多款Apple產品Kernel緩沖區溢出漏洞、多款Apple產品SQLite內存破壞漏洞、多款Apple產品WebKit內存破壞漏洞（CNVD-2019-03295、CNVD-2019-03296、CNVD-2019-03315、CNVD-2019-03316、CNVD-2019-03317）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　HDF5產品安全漏洞

　　HDF5是一套免費的用于管理存儲不同類型數據的工具套件，它能夠管理、操作、查看、分析數據，并生成可移植格式的文件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞造成堆緩沖區越界讀取，發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：HDF5緩沖區越界讀取漏洞、HDF5空指針解引用漏洞（CNVD-2019-03443）、HDF5越界讀取漏洞（CNVD-2019-03449）、HDF5拒絕服務漏洞、HDF5緩沖區溢出漏洞（CNVD-2019-03450、CNVD-2019-03453、CNVD-2019-03454、CNVD-2019-03455）。目前，互聯網上已經出現了針對上述漏洞的攻擊代碼，廠商尚未發布上述漏洞的修補程序。

　　HPE產品安全漏洞

　　HPE Intelligent Management Center（iMC）是一套網絡智能管理中心解決方案。HPERESTful Interface Tool是一套可配置、清查和監控各種系統和服務器組件的RESTful界面工具，它支持通過命令工具控制電源、BIOS（傳統/UEFI）和iLO 4設置、讀取事件日志等，并提供遠程身份驗證、腳本部署服務器等功能。HPE Storage Works XP7 Automation Director（Auto Dir）是一款Storage Works自動化管理系統。HPE Integrated Lights-Out4（iLO 4）和Integrated Lights-Out 5（iLO5）都是美國惠普企業（Hewlett Packard Enterprise，HPE）公司的內嵌式服務器管理技術，它通過一個集成的遠程管理端口，監視和維護服務器的運行狀況、遠程管控服務器等。

　　HPE Network Function Virtualization Director（NFVD）是一套NFV協調解決方案。HPE Central View Fraud Risk Management是一套用于解決欺詐控制問題的端到端解決方案。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼等。

　　CNVD收錄的相關漏洞包括：HPE Intelligent Management Center遠程代碼執行漏洞（CNVD-2019-03320）、HPE RESTful Interface Tool權限訪問控制漏洞、HPE XP7 Automation Director身份驗證繞過漏洞、HPE Integrated Lights Out 4和5for Gen拒絕服務漏洞、HPE Intelligent Management Center PLAT代碼執行漏洞、HPE Network Function Virtualization Director信息泄露漏洞、HPE Central View Fraud Risk Management信息泄露漏洞、HPE Central View Fraud Risk Management未授權訪問漏洞。其中，除“HPE Network Function Virtualization Director信息泄露漏洞、HPE Central View Fraud Risk Management信息泄露漏洞、HPE Central View Fraud Risk Management未授權訪問漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Technicolor DPC3928SL跨站腳本漏洞

　　Technicolor DPC3928SL是一款電纜調制解調器。上周，Technicolor DPC3928SL被披露存在跨站腳本漏洞。遠程攻擊者可借助setSSID利用該漏洞注入任意的Web 腳本或HTML。

　　小結

　　上周，Google被披露存在權限提升和拒絕服務漏洞，攻擊者可利用漏洞提升權限，造成拒絕服務。此外，Apple、HDF5、HPE 等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼（內存破壞），造成堆緩沖區越界讀取，發起拒絕服務攻擊等。另外，echnicolor DPC3928SL被披露存在跨站腳本漏洞。遠程攻擊者可借助setSSID利用該漏洞注入任意的Web腳本或HTML。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、證券時報、中國之聲《新聞縱橫》、BiaNews、手機中國、中國IDC圈、安全牛、嘶吼RoarTalk、企鵝號希恩貝塔報道

責任編輯：韓希宇