國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞218個，互聯網上出現“VyOS權限提升漏洞、ZyxelNBG-418N v2 Modem跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　超過256萬國人數據庫“裸奔”半年多 包含人臉識別信息

　　這份數據庫所包含的信息幾乎能夠精準地找到目標人物的位置以及大部分個人信息，如果被不法分子利用，稍加社會工程手段實施詐騙或者釣魚攻擊，很可能造成一連串的安全事故。>>詳細

　　小額雙免盜刷？ 筆者實測：盜刷難！持卡人可放心使用

　　小額雙免可以輕易盜刷？筆者來到某商場進行現場實測，POS機必須緊貼接觸才能實現盜刷，超過5cm則沒有任何讀取反應。而且在人走動的時候，基本無法實現盜刷。>>詳細

　　工商銀行郭春野：集團一體化安全管理探索

　　圍繞集團化、國際化和綜合化發展戰略，工商銀行將國際安全管理核心要素與本行安全管理成功經驗有機結合，通過采取以下舉措，建立起集團一體化安全管理架構，促進境外安全管理水平整體提升。>>詳細

　　業內人士：用戶隱私數據如何泄露？多個環節均有可能

　　一般來說，如果用戶數據完全存放在企業私有服務器或者私有云服務器中，這樣泄露的可能性低一些。有些公司會放在公有云服務器，這樣的情況如果在網絡和數據安全機制上做得不完善，服務器就有可能被黑客攻破，竊取到數據。>>詳細

　　WinRAR壓縮軟件曝高危漏洞 影響全球超5億用戶

　　黑客可利用該漏洞繞過權限提升直接運行WinRAR，并將惡意文件放進Windows系統的啟動文件夾中，只要用戶重新開機惡意文件即自動運行，黑客便能“完全控制”受害者計算機。>>詳細

　　京東金融就App侵犯隱私致歉：安卓版本確實存在問題

　　近日，有用戶在微博上發布視頻稱京東金融App會保存用戶的截屏圖片在自己的文件夾內，因此質疑京東金融App侵犯用戶隱私。>>詳細

　　只需要不到20分鐘 報告顯示俄羅斯黑客是全球最快的入侵者

　　CrowdStrike提出突破時間這個概念，既是為了揭示企業及國家所面臨的網絡威脅趨勢，也是在警示網絡安全從業者需要繼續提升應急響應時間，與時間賽跑、與黑客賽跑，亦是網絡安全攻防對抗中至關重要的一環。>>詳細

　　美國安全巨頭賽門鐵克：逾4800個網站被黑客植入攻擊代碼

　　研究表明，成千上萬的網站正遭到網絡黑客的攻擊，他們在這些網站上植入攻擊代碼來竊取用戶的支付信息。>>詳細

　　技術觀瀾

　　HTTP/3來啦 你還在等什么？趕緊了解一下（下）

　　在開放互聯網上HTTP 2.0將只用于https://網址，而 http://網址將繼續使用HTTP/1，目的是在開放互聯網上增加使用加密技術，以提供強有力的保護去遏制主動攻擊。DANE RFC6698允許域名管理員不通過第三方CA自行發行證書。>>詳細

　　三星Galaxy App商店漏洞導致中間人攻擊實現遠程代碼執行

　　這將允許攻擊者欺騙Galaxy Apps使用任意帶有有效SSL證書的主機名，并模擬應用商店API來修改設備上的現有應用。（最重要的是）攻擊者可以在三星設備上利用此漏洞實現遠程代碼執行。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2019年02月11日-2019年02月17日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞218個，其中高危漏洞62個、中危漏洞129個、低危漏洞27個。漏洞平均分值為5.75。上周收錄的漏洞中，涉及0day漏洞84個（占39%），其中互聯網上出現“VyOS權限提升漏洞、ZyxelNBG-418N v2 Modem跨站請求偽造漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Windows 10等都是美國微軟（Microsoft）公司發布的一系列操作系統。Windows Domain Name System（DNS）是其中的一套域名系統服務器。Microsoft Windows 10是一套個人電腦使用的操作系統。Windows Server 2016是一套服務器操作系統。Microsoft Internet Explorer（IE）是一款Web瀏覽器，是Windows操作系統附帶的默認瀏覽器。Microsoft .NET Framework是一種全面且一致的編程模型。Visual Studio是開發工具包系列產品。Microsoft Windows是美國微軟（Microsoft）公司發布的一系列操作系統。JET Database Engine是其中的一個數據庫引擎。上周，上述產品被披露存在遠程代碼執行和遠程內存破壞漏洞，攻擊者可利用漏洞執行任意代碼，造成內存破壞。

　　CNVD收錄的相關漏洞包括：Microsoft Windows DomainName System遠程代碼執行漏洞、Microsoft Windows遠程代碼執行漏洞（CNVD-2019-03928）、Microsoft Internet Explorer遠程內存破壞漏洞（CNVD-2019-04150）、Microsoft .NET Framework和Visual Studio遠程代碼執行漏洞、Microsoft Windows JETDatabase Engine遠程代碼執行漏洞（CNVD-2019-04154、CNVD-2019-04155、CNVD-2019-04157、CNVD-2019-04156）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Adobe產品安全漏洞

　　Adobe Acrobat是一套PDF文件編輯和轉換工具，Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在任意代碼執行和越界讀取漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader任意代碼執行漏洞（CNVD-2019-03932、CNVD-2019-03934）、Adobe Acrobat和Reader越界讀取漏洞（CNVD-2019-03938、CNVD-2019-03939、CNVD-2019-03940、CNVD-2019-03941、CNVD-2019-03942、CNVD-2019-03943）。其中，“Adobe Acrobat和Reader任意代碼執行漏洞（CNVD-2019-03932、CNVD-2019-03934）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iTunes for Windows是一款基于Windows平臺的媒體播放器應用程序。WebKit是其中的一個Web瀏覽器引擎組件。Apple macOS Sierra是為Mac計算機所開發的一套專用操作系統。macOS High Sierra是它的下一代產品。Hypervisor（又名虛擬機器監視器，VMM）是一個運行在物理服務器和操作系統之間的中間軟件層，它可允許多個操作系統和應用共享一套基礎物理硬件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞偽造地址欄內容，提升權限，執行任意代碼（內核破壞），造成ASSERT失敗等。

　　CNVD收錄的相關漏洞包括：多款Apple產品WebKit拒絕服務漏洞（CNVD-2019-04295、CNVD-2019-04296）、Apple macOS Sierra和macOS High Sierra Hypervisor權限提升漏洞、Apple macOS Sierra和macOS High Sierra IntelGraphics Driver內存破壞漏洞、Apple iOSSafariViewController地址欄欺騙漏洞、Apple iOS ReplayKit類型混淆漏洞、Apple iOS GasGauge內存破壞漏洞（CNVD-2019-04302）、Apple iOS Calculator未授權操作漏洞。其中，“Apple macOS Sierra和macOS High SierraHypervisor權限提升漏洞、Apple macOS Sierra和macOS High Sierra Intel Graphics Driver內存破壞漏洞、Apple iOS GasGauge內存破壞漏洞（CNVD-2019-04302）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　D-Link產品安全漏洞

　　D-Link DIR-619L Rev.B、DIR-605LRev.B、DVA-5592、DCM-604、DCM-704、DIR-823G、DIR-600M C1和DIR-878都是（D-Link）公司的路由器產品。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過身份驗證，訪問路由器控制面板，執行任意代碼。

　　CNVD收錄的相關漏洞包括：D-Link DIR-619L和DIR-605L棧緩沖區溢出漏洞、D-Link DVA-5592認證繞過漏洞、D-Link DCM-604和DCM-704信息泄露漏洞、D-Link DCM-604和DCM-704憑證泄露漏洞、D-Link DIR-823G命令注入漏洞、D-Link DIR-600M認證繞過漏洞、D-Link DIR-878命令注入漏洞（CNVD-2019-04290、CNVD-2019-04292）。其中，除“D-Link DCM-604和DCM-704信息泄露漏洞、D-Link DCM-604和DCM-704憑證泄露漏洞、D-Link DIR-823G命令注入漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商尚未發布上述漏洞的修補程序。

　　Foscam C2和Opticam i5操作系統命令注入漏洞

　　Foscam C2和Opticami5都是中國福斯康姆（FOSCAM）公司的網絡攝像機產品。上周，Foscam C2和Opticami5設備被披露存在操作系統命令注入漏洞。遠程攻擊者可借助‘modelName’參數中的shell元字符利用該漏洞執行任意OS命令。

　　小結

　　上周，Google被披露存在權限提升和拒絕服務漏洞，攻擊者可利用漏洞提升權限，造成拒絕服務。此外，Apple、HDF5、HPE等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼（內存破壞），造成堆緩沖區越界讀取，發起拒絕服務攻擊等。另外，Technicolor DPC3928SL被披露存在跨站腳本漏洞。遠程攻擊者可借助setSSID利用該漏洞注入任意的Web腳本或HTML。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、第一財經日報、金融電子化、騰訊科技、驅動之家、觀察者網、嘶吼RoarTalk、FreebuF.COM報道

責任編輯：韓希宇