國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞443個，互聯網上出現“Invoxia NVX220信任管理問題漏洞、Private Internet Access (PIA) VPN客戶端任意代碼執行漏洞（CNVD-2019-24214）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

你可能不知道SDK是啥，但你手機里的秘密它可知道……

由第三方SDK引入的安全問題也是顯而易見的。比如開發者的安全能力水平參差不齊，可能導致SDK的安全漏洞；還有開發者會故意預留“后門”，以便收集用戶信息或執行越權操作。>>詳細

中國銀行郭為民：真正的安全 不能有短板

在過去一年，中國銀行通過與騰訊的合作，結合大數據、人工智能、云計算、云網端安全防護體系，累計監測超過30億筆交易，其中阻斷了超過100億的交易金額。>>詳細

CSS 2019：騰訊安全發布2019產業互聯網安全十大議題

作為CSS 2019會議的延續，騰訊安全發布的《十大議題》首次聚焦產業互聯網安全，從產業政策、技術應用、業務場景等方面，對產業互聯網時代的安全變化和技術趨勢進行了盤點和解讀。>>詳細

美第一資本金融公司1億用戶個人信息被盜 女黑客被捕

一名黑客盜取了包括姓名、地址、電話號碼和信用分數在內的個人信息，影響到美國約1億客戶和加拿大600萬客戶，目前這名黑客已被逮捕。>>詳細

蘋果回應Siri竊聽和審聽：使用了1%的用戶錄音

Siri語音助手很容易被激活，有時還能監聽到私人對話，比如人們與醫生交談、毒品交易和性接觸談話內容。>>詳細

網頁端 Outlook 365 發送的郵件會泄露用戶的 IP 地址

任何使用Office 365 WebMail組件發送的郵件都可能無意中向對方共享了自己的IP地址。網頁端Outlook 365會在郵件的標題中插入發送者的IP地址。>>詳細

技術觀瀾

淺析TEEOS該以什么樣的姿態去開放

由于Android生態鏈條十分長，從Android版本發布到消費者手里，要經過許多環節，這直接導致了許多混亂，生態各方與Android系統無法解耦，升級更新困難，安全問題層出不窮。>>詳細

程序員除了會 CRUD 之外，還應該知道什么叫 CQRS！

我們經常用到的解決方案就是對數據庫進行讀寫分離。讓主數據庫處理事務性的增、刪、改操作，讓從數據庫處理查詢操作，然后主從數據庫之間進行同步。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2019年7月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞443個，其中高危漏洞198個、中危漏洞181個、低危漏洞64個。漏洞平均分值為6.50。上周收錄的漏洞中，涉及0day漏洞107個（占24%），其中互聯網上出現“Invoxia NVX220信任管理問題漏洞、Private Internet Access (PIA) VPN客戶端任意代碼執行漏洞（CNVD-2019-24214）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

HP產品安全漏洞

HPE Intelligent Management Center（IMC）是一個從底層構建的綜合管理平臺，支持故障、配置、記賬、性能及安全（FCAPS）模型。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全機制執行未授權操作，導致緩沖區溢出，執行遠程代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：HPE Intelligent ManagementCenter (IMC)拒絕服務漏洞、HPE Intelligent ManagementCenter (IMC) UrlAccessController認證繞過漏洞、HPE Intelligent Management Center (IMC)遠程代碼執行漏洞（CNVD-2019-23771、CNVD-2019-23769、CNVD-2019-23770、CNVD-2019-23772、CNVD-2019-23773）、HPE Intelligent ManagementCenter (IMC)棧緩沖區溢出漏洞（CNVD-2019-24023）。其中，除“HPE Intelligent Management Center (IMC)遠程代碼執行漏洞（CNVD-2019-23769）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

CloudBees產品安全漏洞

CloudBees Jenkins是一套基于Java開發的持續集成工具，它主要用于監控持續的軟件版本發布/測試項目和一些定時執行的任務。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成拒絕服務（無限循環）等。

CNVD收錄的相關漏洞包括：CloudBees Jenkins SSHCredentials Plugin任意文件讀取漏洞、CloudBees Jenkins SAMLPluginHTTP會話固定漏洞 、CloudBeesjenkins-email-ext Email Extension插件信息泄露漏洞、CloudBees Jenkins拒絕服務漏洞（CNVD-2019-23809）、CloudBees Jenkins Cloud Foundry Plugin信息泄露漏洞、CloudBees Jenkins JMS Messaging Plugin服務器請求偽造漏洞、CloudBees Jenkins Script Security Plugin沙盒繞過漏洞、CloudBees Jenkins信息泄露漏洞（CNVD-2019-24407）。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android Mediaframework遠程代碼執行漏洞（CNVD-2019-23555、CNVD-2019-23556）、Google Android System組件遠程代碼執行漏洞、Google Android Framework組件遠程代碼執行漏洞（CNVD-2019-23561、CNVD-2019-23562、CNVD-2019-23563）、Google Android遠程代碼執行漏洞（CNVD-2019-24161、CNVD-2019-24164）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Moxa產品安全漏洞

Moxa OnCell G3100-HSPA是一款G3100-HSPA系列蜂窩網絡網關設備。Moxa OnCell G3470A-LTE是一款G3470A-LTE系列蜂窩網絡網關設備。Moxa AWK-3121是一款工業級無線訪問接入點。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，破壞內存等。

CNVD收錄的相關漏洞包括：Moxa OnCell G3100-HSPA安全繞過漏洞、Moxa OnCell G3100-HSPA內存破壞漏洞（CNVD-2019-23543、CNVD-2019-23545）、Moxa OnCell G3470A-LTE內存破壞漏洞（CNVD-2019-23546、CNVD-2019-23547）、Moxa OnCell G3100-HSPA安全特征問題漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密問題漏洞。其中，除“Moxa OnCell G3100-HSPA安全特征問題漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密問題漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Sony BRAVIA Smart TVs拒絕服務漏洞

Sony BRAVIA Smart TVs是日本索尼（Sony）公司的一款智能電視。Sony BRAVIA Smart TVs被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成電視卡屏，無法響應，程序崩潰并且導致電視重啟。

小結

上周，HP被披露存在多個漏洞，攻擊者可利用漏洞繞過安全機制執行未授權操作，導致緩沖區溢出，執行遠程代碼，造成拒絕服務。此外，CloudBees、Google、Moxa等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，造成拒絕服務（無限循環）等。Sony BRAVIA Smart TVs被披露存在拒絕服務漏洞。攻擊者可利用該漏洞造成電視卡屏，無法響應，程序崩潰并且導致電視重啟。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新浪財經、騰訊科技、隱私護衛隊、CSDN、cnBeta、安智客報道

責任編輯：韓希宇