国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞200个，互联网上出现“TP-LinkTL-WR840N和TL-WR841N认证绕过漏洞、D-link DSL-2640T跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　《移动金融基于声纹识别的安全应用技术规范》金融行业标准正式发布

　　2018年10月9日，《移动金融基于声纹识别的安全应用技术规范》（JR/T 0164—2018）金融行业标准由中国人民银行正式发布。>>详细

　　金标委发布《支付信息保护技术规范》 支付信息将分4大等级

　　近日，金标委发布《支付信息保护技术规范》（送审稿），该规范根据敏感程度对支付信息进行等级划分，按敏感程度从低到高分为C1、C2、C3、C4四个类别。>>详细

　　国家密码管理局关于进一步加强商用密码产品管理工作的通知

　　指导商用密码产品生产单位严格遵循已发布密码相关标准,加强商用密码产品的设计和实现;做好商用密码产品品种和型号申请材料的初审和把关,指导申报单位在申请书中明确该产品遵循的技术规范及申报的安全等级。>>详细

　　欧盟样本：以个人信息保护权替代隐私权

　　“个人数据保护权”脱胎于“隐私权”概念，但已然超越了“隐私权”。与后者的消极防御不同，个人数据保护权具有鲜明的主动防护特征，并且更为明晰具体，可精确描述。相较于隐私权，个人数据保护权的保护力度更大。>>详细

　　IBM狂砸340亿美元收购红帽造世界头号混合云提供商

　　值得注意的是，红帽还涉猎多种业务。过去25年里，红帽在各种企业友好技术上投入了大量资金——从计算机容器、无服务器计算到存储和大数据文件系统。得益于这次收购，IBM可以触及所有这些业务。>>详细

　　Twitter封杀“邮件炸弹”嫌疑人帐号:此前未及时处理

　　对于采用机器学习技术的审查工具而言，图像中的威胁性消息可能更难解析，尽管人类内容管理人员可以毫不费力地了解其中的含义。在大多数情况下，威胁性图像与口头威胁同时出现。>>详细

　　技术观澜

　　Wi-Fi泄密门：没连接Wi-Fi 黑客也知道你是谁去过哪

　　要深入了解Wi-Fi探针技术，首先要认识Wi-Fi的基本原理。在Wi-Fi网络协议中，数据被封装成了帧，有固定的格式规则，每个部分（帧结构）都有着不同的意义。>>详细

　　在Android APK中嵌入Meterpreter

　　当今世界，移动电话无处不在。我们日常生活中的许多应用程序正在迁移到云部署，从而使前端技术重新回到瘦客户端的时代。我们的瘦客户端可以是任何东西，从JavaScript浏览器框架到支持移动设备的前端。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年10月22日-2018年10月28日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞200个，其中高危漏洞79个、中危漏洞116个、低危漏洞5个。漏洞平均分值为6.13。上周收录的漏洞中，涉及0day漏洞65个（占33%），其中互联网上出现“TP-LinkTL-WR840N和TL-WR841N认证绕过漏洞、D-link DSL-2640T跨站脚本漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Oracle产品安全漏洞

　　Oracle MySQL是一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞造成拒绝服务（挂起或频繁崩溃），影响数据的可用性。

　　CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2018-21471、CNVD-2018-21472、CNVD-2018-21474、CNVD-2018-21475、CNVD-2018-21478、CNVD-2018-21477、CNVD-2018-21486、CNVD-2018-21485）。目前，厂商已经发布了上述漏洞的修补程序。

　　Foxit产品安全漏洞

　　Foxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。FoxitPhantomPDF for Windows是它的商业版。上周，上述产品被披露存在内存错误引用漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

　　CNVD收录的相关漏洞包括：Foxit Reader和FoxitPhantomPDF for Windows内存错误引用漏洞（CNVD-2018-21836、CNVD-2018-21837、CNVD-2018-21838、CNVD-2018-21839、CNVD-2018-21840、CNVD-2018-21841、CNVD-2018-21842、CNVD-2018-21843）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Mozilla产品安全漏洞

　　Mozilla Firefox是一款开源Web浏览器；MozillaFirefox ESR是Firefox的一个延长支持版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取内存地址，执行任意代码，发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：MozillaFirefox和Firefox ESR内存破坏漏洞（CNVD-2018-21814）、MozillaFirefox内存错误引用漏洞（CNVD-2018-21815、CNVD-2018-21816）、MozillaFirefox和Firefox ESR栈越界读取漏洞、Mozilla Firefox内存破坏漏洞（CNVD-2018-21819）、MozillaFirefox代码执行漏洞（CNVD-2018-21820）、Mozilla Firefox和Firefox ESR类型混淆漏洞、MozillaFirefox和Firefox ESR拒绝服务漏洞（CNVD-2018-21822）。其中，除“MozillaFirefox和Firefox ESR拒绝服务漏洞（CNVD-2018-21822）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Cisco产品安全漏洞

　　Cisco Wireless LAN Controller（WLC）Software是一套用于配置和管理WLC（无线局域网控制器）的软件。Control and Provisioning of Wireless Access Points（CAPWAP）是其中的一个无线接入点控制和配置组件。Cisco WebEx Meetings是网络会议解决方案。Cisco Firepower Threat Defense是一套运行在防火墙中的软件。Cisco Digital Network Architecture Center（DNA Center）是一套数字网络体系结构解决方案。Cisco HyperFlex Software是一套可扩展的分布式文件系统。Cisco Firepower System Software是一款下一代防火墙产品（NGFW）。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，检索和修改重要的系统文件，运行任意命令，发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Cisco Wireless LANController拒绝服务漏洞（CNVD-2018-21481）、Cisco Webex Meetings Desktop App Update Service命令注入漏洞、Cisco Firepower Threat Defense Software拒绝服务漏洞、Cisco Digital Network Architecture Center认证绕过漏洞、Cisco HyperFlex Static Signing Key授权绕过漏洞、Cisco Firepower System Software Detection Engine拒绝服务漏洞、Cisco Firepower System Software命令执行漏洞、Cisco Digital Network Architecture Center认证绕过漏洞。上述漏洞的综合评级为“高危”。

　　TP-Link TL-WA850RE Wi-Fi Range Extender堆缓冲区溢出漏洞

　　TP-Link TL-WA850RE Wi-Fi Range Extender是中国普联（TP-LINK）公司的一款无线网络信号扩展器。上周，TP-Link TL-WA850RE Wi-FiRange Extender被披露存在堆缓冲区溢出漏洞。远程攻击者可通过向to/data/syslog.filter.json文件发送较长的‘type’参数利用该漏洞造成拒绝服务（运行中断）。

　　小结

　　上周，Oracle被披露存在拒绝服务漏洞，攻击者可利用漏洞造成拒绝服务（挂起或频繁崩溃），影响数据的可用性。此外，Foxit、Mozilla、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取内存地址，绕过身份验证，执行任意代码，发起拒绝服务攻击等。另外，TP-Link TL-WA850RE Wi-Fi Range Extender被披露存在堆缓冲区溢出漏洞。远程攻击者可通过向to/data/syslog.filter.json文件发送较长的‘type’参数利用该漏洞造成拒绝服务（运行中断）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、央行网站、国家密码管理局、上海证券报、21世纪经济报道、新浪科技、移动支付网、嘶吼RoarTalk报道

责任编辑：韩希宇