国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞240个，互联网上出现“D-LinkDSL-2750B OS命令注入漏洞、WordPress插件Pie Register跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞，深入探讨信息安全知识。

　　一周行业要闻速览

　　CA/B论坛45次会议圆满召开 开启全球网站安全新征程

　　10月16-18日，由CA/B论坛、中国金融认证中心（CFCA）主办的“CA/B论坛45次会议暨全球网站安全高峰论坛”在上海成功举办。会议为期三天，共有来自包括微软、谷歌、Mozilla、苹果、CISCO、Digicert、Entrust在内、涵盖20余个国家的浏览器、操作系统厂商和各大CA技术专家和代表参会。>>详细

　　苹果推出全新隐私网站 这里有一份完整的个人信息保护指南

　　从用户的角度来说，只要你用手机进行操作，就会产生个人数据，而这些数据时刻都可能被不法分子获取。苹果的产品在设计之初，就有意识地将个人数据收集降至最低，直接将个人数据与用户的姓名和账户信息相分离，并采用了设备处理的方式。>>详细

　　美国某购物网站遭黑客猛烈攻击 造成650万用户数据泄露

　　SHEIN上周末透露，其服务器已成为今年6月开始的“协同犯罪网络攻击”的目标，并持续到8月22日，当时该公司终于意识到潜在的盗窃行为。此后不久，该公司扫描其服务器以删除所有可能的后门入口点，利用哪些黑客可能再次渗入服务器。>>详细

　　新华社调查手机短信嗅探犯罪：劫取验证码盗刷银行卡、恶意扣话费

　　凌晨，突然发现手机信号从4G降为2G，接收来自银行、支付宝和移动公司的各类短信验证码。随后，银行账户被转空、支付宝余额被转走、手机自动订购了一堆无用的增值业务……这并非科幻电影中的场景，而是现实世界中短信嗅探设备对手机用户实施不法侵害。>>详细

　　央行行长会议：防范加密资产的洗钱和恐怖融资风险

　　从近1~2年的国际经验看，数字货币交易所的网络安全经常面临考验。技术上，黑客不断更新解法，侵入个人“热钱包”窃取数字币，侵入交易所直接捣毁交易所数据，盗取数字币等层出不穷。>>详细

　　报告：针对iOS 设备的加密货币挖矿攻击上升近400%

　　来自Check Point研究团队的《2018年9月全球威胁指数》数据显示，针对iOS设备以及使用Safari浏览器设备的加密挖矿恶意软件数量出现了近400%的增长。>>详细

　　华为：量子计算无“霸权”

　　在华为全联接大会第三天议程上，清华大学交叉信息研究院院长、图灵奖获得者、中科院院士姚期智作为主讲嘉宾，在阐述《人工智能理论新方向》这一主题时提到，量子人工智能可能是未来的终极学习机器。>>详细

　　微软在APT的主动攻击的压力下修补了0 day漏洞

　　微软称，成功利用此漏洞的攻击者可以完全控制受影响的系统，接着攻击者可以进行一系列的操作，例如安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年10月08日-2018年10月14日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞240个，其中高危漏洞85个、中危漏洞143个、低危漏洞12个。漏洞平均分值为6.30。上周收录的漏洞中，涉及0day漏洞48个（占20%），其中互联网上出现“D-LinkDSL-2750B OS命令注入漏洞、WordPress插件Pie Register跨站脚本漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Foxit产品安全漏洞

　　Foxit PDF Reader是一款PDF文档阅读器。JavaScript engine是其中的一个JavaScript脚本引擎。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Foxit PDF ReaderJavaScript引擎远程代码执行漏洞（CNVD-2018-20706、CNVD-2018-20707、CNVD-2018-20708、CNVD-2018-20709、CNVD-2018-20710、CNVD-2018-20711、CNVD-2018-20712、CNVD-2018-20713）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Microsoft Windows Server2008 SP2是一套服务器使用的操作系统。Windows 10是一套个人电脑使用的操作系统。PowerPointViewer 2007是一款演示文稿处理程序。Microsoft Excel Viewer 2007 SP3是一款电子表格处理程序。InternetExplorer是一款网页浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，破坏内存。

　　CNVD收录的相关漏洞包括：MicrosoftWindows Graphics组件信息泄露漏洞（CNVD-2018-20734）、MicrosoftWindows Media Player信息泄露漏洞、Microsoft Windows Graphics组件远程执行代码漏洞（CNVD-2018-20739）、MicrosoftWindows Theme API远程执行代码漏洞、Microsoft Windows MS XML远程执行代码漏洞、MicrosoftWindows TCP/IP信息泄露漏洞、Microsoft Internet Explorer远程内存破坏漏洞（CNVD-2018-20743、CNVD-2018-20736）。其中，除“MicrosoftWindows Graphics组件信息泄露漏洞（CNVD-2018-20734）、MicrosoftWindows Media Player信息泄露漏洞、Microsoft Windows TCP/IP信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　Google Chrome是一款Web浏览器。Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码（整数溢出和越界写入）等。

　　CNVD收录的相关漏洞包括：Google AndroidQualcomm组件权限提升漏洞（CNVD-2018-20744）、Google Chrome地址栏欺骗漏洞（CNVD-2018-20745）、Google Android'CollectValuesOrEntriesImpl'函数远程代码执行漏洞、Google Android'copy_process'函数权限提升漏洞、Google Android 'ihevcd_parse_sei_payload'函数远程代码执行漏洞、Google ChromeWebAudio越界读取漏洞、Google Chrome Skia整数溢出漏洞（CNVD-2018-20752）、Google ChromeWebRTC内存错误引用漏洞（CNVD-2018-20753）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apache产品安全漏洞

　　Apache Tomcat是一款轻量级Web应用服务器。Apache Ranger提供一个集中式安全管理框架, 并解决授权和审计。Apache PDFBox是一个开源的、基于Java并提供创建新的PDF文档、修改现有的PDF文档等功能的工具库。Apache Tika是一个集成了POI（使用Java程序对Microsoft Office格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，覆盖文件，执行任意代码，发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Apache Tomcat开放重定向漏洞、Apache PDFBox parser拒绝服务漏洞、Apache Tika拒绝服务漏洞（CNVD-2018-20684）、Apache Tika XML外部实体拒绝服务漏洞、Apache Tika任意文件覆盖漏洞、Apache Mesos信息泄露漏洞、Apache Tika拒绝服务漏洞、Apache RangerUnixAuthenticationService缓冲区溢出漏洞。其中，“Apache RangerUnixAuthenticationService缓冲区溢出漏洞”的综合评级为“高危”。

　　ADB Epicentro缓冲区溢出漏洞

　　ADB Epicentro是一套使用在ADB网关和路由器设备中的固件。上周，ADB Epicentro被披露存在缓冲区溢出漏洞。远程攻击者可借助特制的GET请求利用该漏洞造成拒绝服务。

　　小结

　　上周，Foxit被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。此外，Microsoft、Google、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，覆盖文件，执行任意代码，执行任意代码，破坏内存，发起拒绝服务攻击等。另外，ADB Epicentro被披露存在缓冲区溢出漏洞。远程攻击者可借助特制的GET请求利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、新华社、每日经济新闻、36氪、雷锋网、太平洋电脑网、嘶吼RoarTalk、威客安全报道

责任编辑：韩希宇