国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞277个，互联网上出现“SimpleXML XML外部实体注入漏洞、Berta CMS任意文件上传漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　“全域安全” 补齐智能POS最后一块安全短板

　　手机的TEE解决方案过于依赖芯片，其核心技术掌握在芯片厂商手中，服务商只能通过调用芯片厂商提供的标准API接口，构建系统级的安全体系，并不能做到从底层硬件到软件交互的全方位安全保障。>>详细

　　运通牵手连连支付 Visa筹谋联手八大银行 合资形式或成人民币清算牌照突破路径

　　11月初，中国央行称VISA和美国运通已向其提交银行卡清算机构筹备申请材料，并与其就材料的完整性、合规性进行充分沟通；而VISA和美国运通尚未按要求进一步提供补充材料，尚无法正式受理。>>详细

　　李晓枫：五路并进 移动支付安全发展总趋势

　　中国的移动支付，其实已经是触达普惠金融了，这就表现了金融的效力提升；但在另一方面，互联网金融从去年开始降支，二者形成一个矛盾：尽管你触达普惠金融，金融效力提升，但是风险在增加。>>详细

　　技术观澜

　　探究人工智能系统中的安全问题

　　深度学习引领着新一轮的人工智能浪潮，受到工业界以及全社会的广泛关注。虽然大家对人工智能有很多美好的憧憬，但是现实是残酷的——随着一批深度学习应用逐渐开始变成现实，安全问题也渐渐显现出来。>>详细

　　CA基础知识

　　数字证书采用公钥体制，在公开密钥密码体制中，公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年11月20日-2017年11月26日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞277个，其中高危漏洞71个、中危漏洞195个、低危漏洞11个。漏洞平均分值为5.95上周收录的漏洞中，涉及0day漏洞49个（占18%），其中互联网上出现“SimpleXML XML外部实体注入漏洞、Berta CMS任意文件上传漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数509个，与前周（772个）环比减少34%。

　　上周重要漏洞安全告警

　　Red Hat JBoss Enterprise Appli cation Platform远程代码执行漏洞

　　Red Hat JBoss EnterpriseApplication Platform（EAP）是美国红帽（Red Hat）公司的一套开源、基于J2EE的中间件平台。上周，该产 品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Red Hat JBossEnterprise Application Platform远程代码执行漏洞（CNVD-2017-33724）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　Android on Google Pixel和Nexus是美国谷歌的一套运行于Google Pixel和Nexus中并以Linux为基础的开源操作系统。QualcommCamera是使用在其中的一个摄像头程序。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

　　CNVD收录的相关漏洞包括：AndroidQualcomm Audio权限提升漏洞、Android Qualcomm Camera权限提升漏洞、AndroidQualcomm Camera权限提升漏洞（CNVD-2017-34667、CNVD-2017-34673）、AndroidQualcomm Linux kernel权限提升漏洞、Android Qualcomm Memory子系统权限提升漏洞、AndroidQualcomm Services权限提升漏洞、Android Qualcomm WLAN权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Internet Explorer是微软公司推出的一款网页浏览器。Microsoft Edge是内置于Windows 10版本中的网页浏览器。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Microsoft Edge脚本引擎内存破坏漏洞（CNVD-2017-34922、CNVD-2017-34923、CNVD-2017-34924、CNVD-2017-34927、CNVD-2017-34928、CNVD-2017-34932）、MicrosoftInternet Explorer内存破坏漏洞（CNVD-2017-34718、CNVD-2017-34719）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Cisco产品安全漏洞

　　Cisco Registered EnvelopeService是美国思科公司的一套邮件服务解决方案。Cisco Umbrella Insights Virtual Appliances是一款基于云的安全互联网网关设备。Cisco IP Phone8800是一款提供视频和VoIP通信功能的电话产品。Cisco NX-OS软件是一个数据中心级的操作系统。上周，上述产品被披露存在权限提升、命令注入和跨站脚本漏洞，攻击者可利用漏洞提升权限、执行任意命令或发起跨站脚本攻击等。

　　CNVD收录的相关漏洞包括：Cisco IP Phone8800系列debug界面命令注入漏洞、Cisco NXOS Python脚本引擎权限提升漏洞、CiscoReg istered Envelope Service跨站脚本漏洞（CNVD-2017-34809、CNVD-2017-34810、CNVD-2017-34811、CNVD-2017-34812、CNVD-2017-34813）、Cisco UmbrellaInsights Virtual Appliances本地权限提升漏洞。其中，“Cisco IP Phone 8800系列debug界面命令注入漏洞、Cisco NX-OSPython脚本引擎权限提升漏洞、Cisco Umbrella Insights Virtual Appliances本地权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Icinga Core权限提升漏洞

　　Icinga Core是Icinga项目的一套企业级开源监控系统。上周，Icinga被披露存在权限提升漏洞，本地攻击者可利用该漏洞获取权限。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Red Hat被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。此外，Google、Microsoft、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起跨站脚本攻击等。另外，Icinga被披露存在权限提升漏洞，本地攻击者可利用该漏洞获取权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、移动支付网、经济观察网、雷锋网、安全客、安智客报道

责任编辑：韩希宇