国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞244个，互联网上出现“WAGO750-881 Ethernet Controller设备跨站脚本漏洞、WordPress插件tajer任意文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　北京反诈中心权威发布2018年十大电信网络诈骗手段

　　近年来，电信网络诈骗犯罪频发，令百姓深恶痛绝。层出不穷的诈骗手段，更是让人防不胜防。究竟哪类诈骗手段发案最高？究竟哪类人群最易受骗？究竟哪类诈骗案件损失最大？>>详细

　　个人信息将在税务部门共享 中国将突破部门“信息孤岛”

　　武汉大学信息管理学院教授胡昌平指出，因为个人基础信息涉及泄密的问题，这就需要制定一个涉及信息安全的规则，相应可能要出台法律法规，实施新的管理。>>详细

　　一汽财务通：安全升级有FIDO+ 移动办公更放心

　　一汽财务有限公司与中国金融认证中心（CFCA）共同合作，从生物识别认证、防篡改、防调试、防注入、代码保护、资源文件保护、数据保护等多个维度，对“一汽财务通”手机银行APP进行了全面安全技术升级。>>详细

　　反洗钱组织FATF：明年公布针对加密货币的反洗钱规定

　　相关的规定将涵盖加密货币交易中心、加密货币钱包与首次代币发行（ICO），要求业者在提供服务之前必须注册并接受监督，还必须进行客户调查、保存交易纪录，以及检举可疑的交易活动等。>>详细

　　支持英特尔Gemini Lake的单板机即将上市

　　韩国开源硬件公司Hardkernel已经销售基于ARM的单板计算机很长一段时间了，现在已经公布了其即将推出的Odroid H2新产品细节，它基于英特尔的x86架构。>>详细

　　高通与三星正开发5G小型基站支持规模化部署

　　高通与三星在香港宣布，正合作开发5G小型基站，使海量5G网络速率、容量、覆盖和超低时延成为可能，并支持5G基础设施的规模化部署。该方案将于2020年推出。>>详细

　　技术观澜

　　姚期智院士：神秘的量子计算跟经典计算到底有何不同

　　经典计算机通过操纵经典比特进行布尔运算，类似的，量子计算机是操纵量子比特。这些量子比特处在一个更大的状态空间中，量子操作本质上就是去旋转它们。>>详细

　　多因子身份验证(MFA)技术盘点

　　身份验证方法多种多样，但并不是每一种都能给您同等的安全。基于推送的令牌可能比硬件令牌更有效，但不是所有基于推送的令牌都采用同样的工作方式。推出MFA解决方案时要确保充分理解所选MFA方法的安全程度和风险等级。>>详细

　　SIEM、UBA、UEBA分不清？那就真该看看本指南

　　导致防御措施跟不上威胁发展的罪魁祸首并不是防火墙、IDS、IPS和终端安全软件检测不到网络攻击，而是它们产生的警报开始让防御者不堪重负。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年10月15日-2018年10月21日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞244个，其中高危漏洞101个、中危漏洞130个、低危漏洞13个。漏洞平均分值为6.36。上周收录的漏洞中，涉及0day漏洞75个（占31%），其中互联网上出现“WAGO750-881 Ethernet Controller设备跨站脚本漏洞、WordPress插件tajer任意文件上传漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Microsoft产品安全漏洞

　　Microsoft C SDK for Azure IoT是一款基于C语言的，用于开发Azure IoT（物联网平台）应用程序的软件开发工具包。Edge是微软操作系统附带的默认浏览器。ChakraCore是使用在Edge中的一个开源的JavaScript引擎的核心部分，也可作为单独的JavaScript引擎使用。上周，上述产品被披露存在远程内存破坏漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Microsoft ChakraCoreScripting Engine远程内存破坏漏洞（CNVD-2018-21212、CNVD-2018-21236）、Microsoft Edge ChakraScripting Engine远程内存破坏漏洞（CNVD-2018-21213、CNVD-2018-21216、CNVD-2018-21218、CNVD-2018-21219）、Microsoft Azure IoT DeviceClient SDK远程内存破坏漏洞、Microsoft Edge ChakraScripting Engine远程内存破坏漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Cisco产品安全漏洞

　　Cisco Wireless LANController（WLC）是一款无线局域网控制器产品。Cisco Identity ServicesEngine（ISE）是一款基于身份的环境感知平台（ISE身份服务引擎）。Cisco WebexNetwork Recording Player和Webex Player都是用于播放视频会议记录的播放器。Cisco vEdge100 Series Routers等都是不同系列的路由器产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过证书检测，提升权限，执行任意代码。

　　CNVD收录的相关漏洞包括：Cisco WirelessLAN Controller Software GUI权限提升漏洞、Cisco Wireless LAN Controller Software目录遍历漏洞、Cisco WirelessLANController Software Control and Provisioning of Wireless Access PointsProtocol信息泄露漏洞、Cisco SD-WAN证书验证安全绕过漏洞、Cisco Identity ServicesEngine WEB管理接口任意命令执行漏洞（CNVD-2018-21257、CNVD-2018-21258）、Cisco WebexNetwork Recording Player和Webex Player任意代码执行漏洞、Cisco WebexNetwork Recording Player和Webex Player远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Adobe产品安全漏洞

　　Adobe Acrobat是一套PDF文件编辑和转换工具，Adobe Reader是一套PDF文档阅读软件。上周，上述产品被披露存在任意代码执行漏洞，攻击者可利用漏洞执行任意代码（越界写入）。

　　CNVD收录的相关漏洞包括：Adobe Acrobat和Reader任意代码执行漏洞（CNVD-2018-21091、CNVD-2018-21092、CNVD-2018-21093、CNVD-2018-21094、CNVD-2018-21095、CNVD-2018-21096、CNVD-2018-21097、CNVD-2018-21098）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　Apple iOS是为移动设备所开发的一套操作系统；Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。macOS Mojava是一套专为Mac计算机所开发的专用操作系统；tvOS是一套智能电视操作系统；watchOS是一套智能手表操作系统。上周，该产品被披露存在内存破坏和内存错误引用漏洞，攻击者可利用漏洞执行任意代码（内存破坏）。

　　CNVD收录的相关漏洞包括：多款Apple产品Kernel内存破坏漏洞（CNVD-2018-20992）、多款Apple产品WebKit内存错误引用漏洞（CNVD-2018-20995、CNVD-2018-20996、CNVD-2018-20997、CNVD-2018-20998、CNVD-2018-20999、CNVD-2018-21000、CNVD-2018-21001）。上述漏洞的综合评级为“高危”。

　　Wecon PI Studio HMI和PI Studio缓冲区溢出漏洞

　　Wecon PI Studio HMI和PIStudio都是人机界面编程软件。。上周，Wecon PI Studio HMI4.1.9和PI Studio被披露存在缓冲区溢出漏洞。远程攻击者可利用该漏洞执行代码。

　　小结

　　上周，Microsoft被披露存在远程内存破坏漏洞，攻击者可利用漏洞执行任意代码。此外，Cisco、Adobe、Apple等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过证书检测，提升权限，执行任意代码（内存破坏）。另外，Wecon PI Studio HMI和PIStudio被披露存在缓冲区溢出漏洞。远程攻击者可利用该漏洞执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、21世纪经济报道、新浪科技、cnBeta、安全牛、北京刑侦公众号报道

责任编辑：韩希宇