國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞293個，互聯網上出現“RarmaRadio 'Server'拒絕服務漏洞、WordPress Antena_Ri Institute Themes開放重定向漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部發布《網絡安全漏洞管理規定（征求意見稿）》

為規范網絡安全漏洞報告和信息發布等行為，保證網絡產品、服務、系統的漏洞得到及時修補，提高網絡安全防護水平，根據《國家安全法》《網絡安全法》，制定本規定。>>詳細

一家銀行竟有8個APP 銀行手機APP泛濫背后方便了誰？

有不少用戶反映，一個銀行多個APP，功能交叉重疊，霸滿整個手機屏幕，用戶體驗卻很一般。也有銀行工作人員認為，每個APP都有自己的定位，把所有功能都放在一起，反而不方便。>>詳細

一文看懂│如何讓采購方“放心招”、供應商“安全投”？

當招投標行業全流程電子化蔚然成風，問題也隨之而來，怎樣才能保障電子招投標業務的安全合規，做到采購方“放心招”，供應商“安全投”？>>詳細

人臉識別和生物識別在支付領域上的風險

在金融支付領域，由于其行業自身的高敏感性，對于新興技術帶來的新方案總是先天帶有審慎態度，因此普遍還處于嘗試階段。>>詳細

支付清算協會馬國光：網絡支付業務模式及安全規范發展研究

隨著備付金集中存管、賬戶分類管理、客戶實名制管理等監管要求的貫徹執行，基于銀行賬戶的快捷支付模式和網關支付模式將可能逐步成為市場主體網絡支付業務創新發展的主流。>>詳細

招商銀行夏雷：新一代實時智能反欺詐平臺創新思路及成效

從早期的網上銀行到今天的手機銀行，銀行積累了大量的風控手段，繼續按原路徑走下去是否可行？我們的結論是，現在已經到了必須變革的時候。>>詳細

大數據促進銀行普惠金融業務發展實踐

建立金融大數據系統，提升金融多媒體數據處理與理解能力，創新智能金融產品和服務，重塑金融價值鏈和金融生態，將成為銀行數字化轉型的必由之路。>>詳細

手機上的信息刪了就徹底刪除了？事情沒你想得那么簡單

購買新手機后，很多人都會將舊手機中儲存的信息、照片刪除，避免舊手機泄露信息。>>詳細

至此，你的所有iOS設備（包括iOS 13）都不再安全了！

被破解后的iPhone可以被任意調取通話記錄、電子郵件，甚至被刪除的記錄，這無疑是對個人信息安全的侵犯。雖然普通人不太可能被盯上，但想想也細思極恐，萬一有人對你感興趣，調出你的數據也是易如反掌。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年6月10日-16日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞293個，其中高危漏洞110個、中危漏洞162個、低危漏洞21個。漏洞平均分值為6.04。上周收錄的漏洞中，涉及0day漏洞185個（占63%），其中互聯網上出現“RarmaRadio 'Server'拒絕服務漏洞、WordPress Antena_Ri Institute Themes開放重定向漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Coremail郵件系統存在配置信息泄露漏洞

Coremail郵件系統是論客科技（廣州）有限公司（以下簡稱論客公司）自主研發的大型企業郵件系統，為客戶提供電子郵件整體技術解決方案及企業郵局運營服務。Coremail論客郵件系統被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取敏感信息。目前，廠商已經發布了漏洞的修補程序。

Coremail郵件系統存在服務未授權訪問和服務接口參數注入漏洞

Coremail郵件系統是論客科技（廣州）有限公司（以下簡稱論客公司）自主研發的大型企業郵件系統，為客戶提供電子郵件整體技術解決方案及企業郵局運營服務。Coremail郵件系統被披露存在服務未授權訪問和服務接口參數注入漏洞。攻擊者可利用漏洞在未授權的情況下訪問部分服務接口和進行接口參數注入操作。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，執行任意代碼，發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Mozilla Firefox和Mozilla Firefox ESR定時攻擊漏洞、Mozilla Firefox和Mozilla Firefox ESRXMLHttpRequest內存錯誤引用漏洞、Mozilla Firefox和Mozilla Firefox ESR crash generation server資源管理錯誤漏洞、Mozilla Firefox和MozillaFirefox ESR內存破壞漏洞、Mozilla Firefox和Mozilla Firefox ESR內存錯誤引用漏洞、Mozilla Firefox和Mozilla Firefox ESR類型混淆漏洞、Mozilla Firefox內存錯誤引用漏洞（CNVD-2019-17486）、Mozilla Firefox命令執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens Siveillance VMS是一套監控視頻管理軟件。LOGO!8是西門子第8代智能邏輯控制器，是西門子PLC家族里的Nano PLC，它簡化了編程組態，集成的面板可顯示更多的內容，并可通過集成的以太網接口輕松組網高效互聯。Siemens LOGO! Soft Comfort是一個工程軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，獲取系統的未授權訪問權限，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Google Chrome Swiftshader緩沖區溢出漏洞（CNVD-2019-17139）、Google Chrome Download Manager內存錯誤引用漏洞、Google Chrome Blink安全繞過漏洞（CNVD-2019-17513）、Google Chrome安全繞過漏洞（CNVD-2019-17515）、Google Chrome Extensions安全繞過漏洞（CNVD-2019-17514）、Google Chrome敏感信息泄露漏洞（CNVD-2019-17516）、Google Chrome V8安全繞過漏洞、Google Chrome安全繞過漏洞（CNVD-2019-17517）。其中，“Google Chrome DownloadManager內存錯誤引用漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，造成內存破壞。

CNVD收錄的相關漏洞包括：Microsoft Edge和ChakraCore緩沖區溢出漏洞（CNVD-2019-16511）、Microsoft Windows GDI遠程代碼執行漏洞（CNVD-2019-16510）、Microsoft ChakraCore和Microsoft Edge遠程代碼執行漏洞（CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748）、Microsoft Edge遠程代碼執行漏洞（CNVD-2019-16747）、Microsoft Edge和ChakraCore遠程代碼執行漏洞（CNVD-2019-16749）、多款Microsoft產品遠程代碼執行漏洞（CNVD-2019-16750）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Jet Database Engine是其中的一個數據庫引擎。Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft InternetExplorer是一款Windows操作系統附帶的Web瀏覽器。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過NTLM MIC保護，執行任意代碼，造成內存破壞等。

CNVD收錄的相關漏洞包括：Microsoft Windows NTLM篡改安全繞過漏洞、Microsoft Windows Jet Database Engine緩沖區溢出漏洞（CNVD-2019-17523、CNVD-2019-17525、CNVD-2019-17524）、Microsoft InternetExplorer VBScript Engine遠程代碼執行漏洞、Microsoft InternetExplorer遠程代碼執行漏洞（CNVD-2019-17527、CNVD-2019-17528）、Microsoft Edge和Internet Explorer緩沖區溢出漏洞（CNVD-2019-17529）。其中，除“Microsoft Windows NTLM篡改安全繞過漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-818LW命令注入漏洞

D-Link DIR-818LW是一款無線路由器。D-Link DIR-818LW被披露存在命令注入漏洞。該漏洞源于外部輸入數據構造可執行命令過程中，網絡系統或產品未正確過濾其中的特殊元素。攻擊者可利用該漏洞執行非法命令。

小結

上周，Mozilla被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，執行任意代碼，發起拒絕服務攻擊等。此外，Siemens、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，獲取系統的未授權訪問權限，執行任意代碼，造成內存破壞等。D-Link DIR-818LW被披露存在命令注入漏洞。攻擊者可利用該漏洞執行非法命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部網站、金融電子化、金卡生活、央視財經、央廣網、嘶吼網報道

責任編輯：韓希宇