國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞293個，互聯網上出現“Joomla Com_Attachments組件文件上傳漏洞、VFront跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

國家互聯網信息辦公室關于《個人信息出境安全評估辦法（征求意見稿）》公開征求意見的通知

國家互聯網信息辦公室會同有關部門起草了《個人信息出境安全評估辦法（征求意見稿）》，現向社會公開征求意見。>>詳細

都在這里了，Ⅱ、Ⅲ類銀行賬戶風險監控應關注的指標

經過近四年的發展，Ⅱ、Ⅲ類銀行賬戶滿足了社會公眾多樣化、個性化的支付需求，促進了銀行支付服務進一步便捷化。>>詳細

筑起技術經濟安全“防火墻” 我國將建立國家技術安全管理清單制度

技術安全管理清單制度不僅能夠有效預防和化解國家安全風險，也將為我國實現創新驅動、走高質量發展之路奠定更加堅實的制度基礎。>>詳細

黑客竊取了美國邊境管理局的生物識別信息數據庫，這也提醒我們，是時候重視“個人生物信息”的保護了！

隨著人工智能應用的成熟，越來越多的生物識別技術被廣泛應用到生活和工作中，不過這也帶來了生物信息安全問題。>>詳細

蘋果將在iOS 13中推出加密開發包CrytoKit 密鑰存儲在SE中

在密鑰存儲和管理上，可以讓密鑰存儲在Secure Enclave中，并由其管理密鑰。Secure Enclave是蘋果上的安全隔離區，用以安全存儲數據。>>詳細

微軟發布警告 黑客利用Office漏洞發動垃圾郵件攻擊

微軟公司安全研究人員日前發出警告稱，當用戶打開RTF（多文本格式）文檔時，惡意軟件將在沒有與用戶交互的情況下感染其電腦，這股攜帶惡意RTF文檔的垃圾郵件浪潮正在蔓延。>>詳細

技術觀瀾

CVE-2019-9510：攻擊者利用RDP 0 day漏洞可繞過鎖屏

在客戶端已經連接到服務器而且鎖屏的情況下，如果網絡異常觸發了臨時的RDP斷開，無論遠程系統的狀態，重新連接RDP會話都會恢復到unlocked狀態。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2019 年6 月3 日-9 日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞171個，其中高危漏洞54個、中危漏洞103個、低危漏洞14個。漏洞平均分值為5.77。上周收錄的漏洞中，涉及0day漏洞36個（占21%），其中互聯網上出現“WordPress插件Ad-Manager開放重定向漏洞、EmpireCMS跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。Adobe Acrobat是一款PDF編輯軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader信息泄露漏洞（CNVD-2019-16540）、Adobe Acrobat和Reader堆溢出漏洞（CNVD-2019-16536、CNVD-2019-16535）、Adobe Acrobat和Reader類型混淆漏洞（CNVD-2019-16538、CNVD-2019-16537、CNVD-2019-16539）、Adobe Acrobat和Reader越界讀取漏洞（CNVD-2019-16541、CNVD-2019-16542）。其中，除“Adobe Acrobat和Reader越界讀取漏洞（CNVD-2019-16541、CNVD-2019-16542）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle E-Business Suite（電子商務套件）是一套全面集成式的全球業務管理軟件。Oracle Database Server是一套關系數據庫管理系統。Oracle MySQL是一套開源的關系數據庫管理系統。Oracle Retail Applications是一套零售應用商店解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的保密性、完整性和可用性。

CNVD收錄的相關漏洞包括：Oracle E-Business SuiteOne-to-One Fulfillment訪問控制錯誤漏洞、Oracle Database ServerCore RDBMS訪問控制錯誤漏洞、Oracle Database ServerJava VM訪問控制錯誤漏洞、Oracle MySQL Server訪問控制錯誤漏洞（CNVD-2019-16278、CNVD-2019-16397）、Oracle Retail Applications Retail Convenience Store Back Office訪問控制錯誤漏洞、Oracle Retail Applications MICROS Relate CRMSoftware訪問控制錯誤漏洞、Oracle Retail ApplicationsMICROS Lucas訪問控制錯誤漏洞。其中，“Oracle E-Business SuiteOne-to-One Fulfillment訪問控制錯誤漏洞、Oracle Database ServerCore RDBMS訪問控制錯誤漏洞、Oracle Database ServerJava VM訪問控制錯誤漏洞、Oracle Retail ApplicationsRetail Convenience Store Back Office訪問控制錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Graphics Device Interface（GDI）是其中的一個圖形設備接口。Microsoft ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分，也可作為單獨的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在緩沖區溢出和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼，造成內存破壞。

CNVD收錄的相關漏洞包括：Microsoft Edge和ChakraCore緩沖區溢出漏洞（CNVD-2019-16511）、Microsoft Windows GDI遠程代碼執行漏洞（CNVD-2019-16510）、Microsoft ChakraCore和Microsoft Edge遠程代碼執行漏洞（CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748）、Microsoft Edge遠程代碼執行漏洞（CNVD-2019-16747）、Microsoft Edge和ChakraCore遠程代碼執行漏洞（CNVD-2019-16749）、多款Microsoft產品遠程代碼執行漏洞（CNVD-2019-16750）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取網站管理員訪問權限，發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Linux kernel輸入驗證錯誤漏洞、Linux kernel內存泄露漏洞、Linux kernel內存分配失敗處理不當漏洞、Linux kernel拒絕服務漏洞（CNVD-2019-16431、CNVD-2019-16432、CNVD-2019-16590、CNVD-2019-16599、CNVD-2019-16428）。其中，“Linux kernel輸入驗證錯誤漏洞、Linux kernel拒絕服務漏洞（CNVD-2019-16590、CNVD-2019-16599）” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Samsung SCX-824跨站腳本漏洞

Samsung SCX-824是一款多功能打印機。Samsung SCX-824被披露存在跨站腳本漏洞。該漏洞源于WEB應用缺少對客戶端數據的正確驗證。攻擊者可利用該漏洞執行客戶端代碼。

小結

上周，Adobe被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼。此外，Oracle、Microsoft、Linux等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取網站管理員訪問權限，執行任意代碼，造成內存破壞等。Samsung SCX-824被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、騰訊科技、央廣網、嘶吼網、藍狐筆記報道

責任編輯：韓希宇