國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞401個，互聯網上出現“ABUS Secvest FUAA50000消息傳輸錯誤條件漏洞、Vera Edge Home Controller命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

解密數字證書 支付安全有他守護

數字證書為何能解決安全交易防篡改、以及身份認證的問題呢？雖然可以簡單的將個人數字證書比作一個人的“數字身份證”，但實際理論并不如此簡單，畢竟不能“出示”數字證書就解決問題。>>詳細

淺析5G新時代技術特點與安全風險

5G在一定時期內將沿用早期的通信網絡和設備，加上5G引入的新的技術特性，勢必會引發新的安全風險。>>詳細

ZAO到底有沒有威脅信息安全？業界期待中國版GDPR

這個APP及其用戶信息“綁架條款”引起了對信息安全的恐慌。特別是作為支付工具的人臉識別一旦被破解，用戶的金融信息安全堪憂。>>詳細

中國互聯網發展狀況報告：境內約2.6萬網站被植入后門（全文下載）

第44次《中國互聯網絡發展狀況統計報告》內容涵蓋了互聯網基礎建設狀況、網民規模及結構狀況、互聯網應用發展狀況、互聯網政務應用發展狀況與互聯網安全狀況等方面。>>詳細

關于印發《全國信息安全標準化技術委員會<網絡安全標準實踐指南>管理辦法（暫行）》的通知

為規范《網絡安全標準實踐指南》的制定和管理工作，根據《全國信息安全標準化技術委員會章程》等有關規定，全國信息安全標準化技術委員會秘書處制定了《全國信息安全標準化技術委員會標準<網絡安全標準實踐指南>管理辦法（暫行）》。>>詳細

淺議新型支付業務的洗錢風險及防范措施

新型支付多采用加密技術保護客人隱私，一些犯罪分子通過病毒、“黑客”攻擊等方式竊取他人的賬戶信息，無法判斷交易是否為合法用戶本人所為。>>詳細

誰泄露了我的數據？！AI時代金融信息安全攻防戰危情

開放銀行涉及了作為數據提供方的銀行和第三方機構，任何一方在數據保護方面存在缺陷，即會導致數據泄露的風險劇增。不僅僅是銀行面臨這樣的風險，在金融業態中數據保護意識淡薄的現象并不罕見。>>詳細

美國大型連鎖超市Hy-Vee 530萬張支付卡信息泄露

受到影響的支付處理系統是在某些加油站、外帶咖啡廳與餐廳，而位在超市內的雜貨店或藥局則采用不同的支付處理器系統，并有端對端的加密技術，因而未被波及。>>詳細

安全威脅播報

上周漏洞基本情況 

上周（2019年8月26日-9月1日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞401個，其中高危漏洞79個、中危漏洞267個、低危漏洞55個。漏洞平均分值為5.44。上周收錄的漏洞中，涉及0day漏洞34個（占8%），其中互聯網上出現“ABUS Secvest FUAA50000消息傳輸錯誤條件漏洞、Vera Edge Home Controller命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

AdobeAcrobat是一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。上周，上述產品被披露存在越界讀取和越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader越界讀取漏洞、Adobe Acrobat/Reader越界寫入漏洞（CNVD-2019-29553、CNVD-2019-29554、CNVD-2019-29555、CNVD-2019-29559、CNVD-2019-29557、CNVD-2019-29560、CNVD-2019-29561）。其中，除“Adobe Acrobat/Reader越界讀取漏洞、Adobe Acrobat/Reader越界寫入漏洞（CNVD-2019-29553）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Fusion Middleware（Oracle融合中間件）是一套面向企業和云環境的業務創新平臺。Oracle E-Business Suite（電子商務套件）是一套全面集成式的全球業務管理軟件。上周，該產品被披露存在訪問控制錯誤漏洞，攻擊者可利用漏洞攻擊者可利用該漏洞未授權讀取、更新、插入或刪除數據，影響數據的保密性和完整性。

CNVD收錄的相關漏洞包括：Oracle BI Publisher訪問控制錯誤漏洞（CNVD-2019-29186、CNVD-2019-29191、CNVD-2019-29192）、Oracle BI Publisher組件訪問控制錯誤漏洞（CNVD-2019-29188）、Oracle Marketing組件訪問控制錯誤漏洞（CNVD-2019-29193、CNVD-2019-29194、CNVD-2019-29195、CNVD-2019-29196）。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linuxkernel是美國Linux基金會發布的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞造成拒絕服務，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Linux kernel拒絕服務漏洞（CNVD-2019-29107）、Linux kernel代碼問題漏洞、Linux kernel緩沖區溢出漏洞（CNVD-2019-29563、CNVD-2019-29637、CNVD-2019-29638、CNVD-2019-29641、CNVD-2019-29639、CNVD-2019-29640）。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Informix Dynamic Server（IDS）是一款可擴展的對象關系數據庫服務器，它為集群數據中心提供持續數據可用性和災難恢復等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取管理員權限。

CNVD收錄的相關漏洞包括：IBM Informix DynamicServer緩沖區溢出漏洞（CNVD-2019-29421、CNVD-2019-29422）、IBM Informix DynamicServer權限許可和訪問控制問題漏洞（CNVD-2019-29420、CNVD-2019-29423、CNVD-2019-29424、CNVD-2019-29425、CNVD-2019-29427、CNVD-2019-29426）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Lenovo Solution Center提權漏洞

Lenovo Solution Center（LSC）是一套用于幫助用戶快速識別系統健康狀態、網絡連接和整個系統安全狀態的軟件。上周，Lenovo Solution Center被披露存在提權漏洞，攻擊者可利用該漏洞提升權限。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

小結

上周，Adobe被披露存在越界讀取和越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。此外，Oracle、Linux、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取管理員權限，造成拒絕服務，導致緩沖區溢出或堆溢出等。另外，Lenovo Solution Center被披露存在提權漏洞，攻擊者可利用該漏洞提升權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、21世紀經濟報道、中國信息安全、信安標委、中國反洗錢實務、ithome報道

責任編輯：韓希宇