國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞293個，互聯網上出現“Joomla Com_Attachments組件文件上傳漏洞、VFront跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

CFCA張行：金融業數據安全應強調全域安全

構建在互聯網和信息科技上的現代金融服務業，安全是金融行業的基石和命脈，安全從來都是金融行業最為關注的重點。>>詳細

工信部公布網絡安全試點項目名單，物聯網或許是重中之重

工信部披露網絡安全技術應用試點示范項目名單，中國電信IPTV網絡信息安全“五位一體”防護平臺等101個項目上榜。>>詳細

銀聯最新通知：打擊一機多戶、非法交易、套碼、移機等問題

通知顯示，為了進一步強化銀聯卡收單市場的合規管理，銀聯再次重申相關規范，要求收單機構全面排查梳理自身或合作外包機構的業務情況，徹底杜絕相關違規行為。>>詳細

三部門聯合發文！保護個人信息安全刻不容緩！

通過啟用HTTPS，在客戶端與網站服務端之間建立一條安全的加密通道，對傳輸的數據進行加密，確保數據在傳輸過程中的完整性和保密性，有效防止數據泄露及篡改。>>詳細

是時候拋棄谷歌了嗎？YouTube、Gmail 等多項谷歌服務突遭全球范圍的大規模宕機，蘋果部分業務也遭遇影響！

這是因為谷歌在在全球范圍內遭遇了大規模宕機，包括Gmail、YouTube和Google Drive在內基于谷歌云架構服務的諸多谷歌服務均受到本次宕機的影響。>>詳細

技術觀瀾

5G NR 標準：下一代無線通信技術

5G在更寬泛的語境中，常常用來意指未來移動通信能夠支持的、可預見的應用服務。2017標準化組織3GPP推出第一版5G技術規范NR。>>詳細

安全威脅播報

本周漏洞基本情況

本周（2019 年5 月27 日6 月2 日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞293個，其中高危漏洞97個、中危漏洞167個、低危漏洞29個。漏洞平均分值為5.81。本周收錄的漏洞中，涉及0day漏洞134個（占46%），其中互聯網上出現“Joomla Com_Attachments組件文件上傳漏洞、VFront跨站腳本漏洞”等零日代碼攻擊漏洞。

本周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系統附帶的Web瀏覽器。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。本周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Microsoft Edge和ChakraCore緩沖區溢出漏洞（CNVD-2019-16202、CNVD-2019-16201、CNVD-2019-16203、CNVD-2019-16206、CNVD-2019-16205、CNVD-2019-16207）、Microsoft InternetExplorer緩沖區溢出漏洞（CNVD-2019-16204）、Microsoft Edge緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Schneider Electric產品安全漏洞

Schneider Electric Modicon M580、M340是一款可編程自動化控制器。Schneider ElectricTriconex TriStation Emulator是一款Triconex仿真模擬器。Schneider Electric 1st Gen Pelco Sarix Enhanced Camera是一系列固定式IP攝像機。Schneider Electric SpectraEnhanced PTZ Camera是一系列球型IP攝像機。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提交特殊的請求，可進行拒絕服務攻擊，執行任意的操作系統命令等。

CNVD收錄的相關漏洞包括：Schneider Electric Modicon越界寫拒絕服務漏洞、Schneider Electric Modicon非法內存塊寫拒絕服務漏洞、Schneider Electric Modicon非法斷點參數拒絕服務漏洞、Schneider Electric Triconex TriStation Emulator拒絕服務漏洞、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera跨站請求偽造漏洞、Schneider Electric 1st Gen Pelco Sarix Enhanced Camera命令注入漏洞（CNVD-2019-16261、CNVD-2019-16259）、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令執行漏洞。其中，“Schneider Electric 1st GenPelco Sarix Enhanced Camera命令注入漏洞（CNVD-2019-16259）、Schneider Electric 1st Gen. Pelco Sarix Enhanced Camera和Spectra Enhanced PTZ Camera任意OS命令執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Open-Xchange產品安全漏洞

Open-Xchange OX App Suite是一套Web云桌面環境。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，執行客戶端代碼等。

CNVD收錄的相關漏洞包括：Open-Xchange OX App Suite訪問控制錯誤漏洞（CNVD-2019-15534、CNVD-2019-15677）、Open-Xchange OX App Suite跨站腳本漏洞（CNVD-2019-15656、CNVD-2019-15675）、Open-Xchange GmbH OX App Suite跨站腳本漏洞、Open-Xchange OX App Suite訪問控制錯誤漏洞、Open-Xchange OX App Suite信息泄露漏洞（CNVD-2019-16163）、Open-Xchange OX App Suite授權問題漏洞。其中，“Open-Xchange OX App Suite訪問控制錯誤漏洞（CNVD-2019-15534、CNVD-2019-16065）、Open-Xchange OX App Suite授權問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL是一套開源的關系數據庫管理系統。Oracle JD Edwards Products是一套全面集成的企業資源計劃管理軟件套件（ERP）。Oracle Retail Applications是一套零售應用商店解決方案。Oracle Siebel CRM是一套客戶關系管理解決方案。Oracle Enterprise Manager Products Suite是一套企業內部部署管理平臺。本周，該產品被披露存在多個漏洞，攻擊者可利用漏洞未授權讀取、更新、插入或刪除數據，造成拒絕服務，影響數據的保密性、完整性和可用性。

CNVD收錄的相關漏洞包括：Oracle MySQL Server拒絕服務漏洞（CNVD-2019-16231、CNVD-2019-16233、CNVD-2019-16232、CNVD-2019-16234）、Oracle JD Edwards Products JD Edwards EnterpriseOne Tools訪問控制錯誤漏洞、Oracle Retail Applications Retail Point-of-Service訪問控制錯誤漏洞、Oracle Siebel CRM Siebel Core-Server BizLogic Script訪問控制錯誤漏洞、Oracle Enterprise Manager Products Suite ApplicationTesting Suite訪問控制錯誤漏洞。其中，“Oracle Retail ApplicationsRetail Point-of-Service訪問控制錯誤漏洞” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Westermo DR-260、DR-250和MR-260跨站請求偽造漏洞

Westermo DR-260是一款DSL路由器。Westermo DR-250是一款DSL路由器。Westermo MR-260是一款3G多媒體路由器。

Westermo DR-260、DR-250和MR-260被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞通過受影響客戶端向服務器發送非預期的請求。

小結

本周，Microsoft被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞導致緩沖區溢出或堆溢出等。此外，Schneider Electric、Open-Xchange、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，未授權讀取、更新、插入或刪除數據，造成拒絕服務，執行客戶端代碼等。Westermo DR-260、DR-250和MR-260被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞通過受影響客戶端向服務器發送非預期的請求。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、賽迪網、億歐網、CSDN、移動支付網、嘶吼網報道

責任編輯：韓希宇