国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞172个，互联网上出现“FoscamOpticam i5栈缓冲区溢出漏洞、Shipping System CMS SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　网信办发布《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》（全文）

　　为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理，规范互联网信息服务活动，维护国家安全、社会秩序和公共利益，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》，制订本规定。>>详细

　　万物互联 CFCA双向认证方案赋能物联网安全

　　作为中国大陆境内唯一拥有全入根（微软，谷歌，苹果，火狐，Adobe）的电子认证服务机构，CFCA的全球信任根已植入主流桌面及移动操作系统，支持最新安全要求和技术标准，充分保障物联网服务端身份可信赖及通信通道安全。>>详细

　　GDPR给安全带来的七大不利影响

　　违反GDPR的代价过于巨大，因而你不得不为那些预料不到的后果考虑，而且因为无法使用Whois数据，无形中也扩大了威胁界面。因为GDPR的存在，可供黑客入侵的威胁界面显著增长，不是增加了一点点，而是翻了个数量级。>>详细

　　HTTP3.0有望抛弃TCP传输层：换用UDP协议

　　虽然UDP与TCP相反，是不可靠且无序的，但效率很高、速度快。谷歌调优后的QUIC更是重建了可靠性和有序性，但减少了连接次数，尤其是对于加密连接来说，能够使用先前协商过的相同加密恢复旧连接，而不需要任何额外的往返。>>详细

　　安全研究人员：英伟达GPU 存在旁路攻击漏洞

　　加州大学河滨分校的研究人员，发现了三种可能被黑客利用 GPU、来攻破用户安全与隐私防线的方法。>>详细

　　美国运通印度分公司数据库曝光 致70万人信息泄露

　　根据相关数据显示，这些记录似乎都来自印度的美国运通分公司。值得注意的是，在操作过程中并不需要使用任何特殊的程序，仅仅是通过Shodan一类的物联网搜索引擎或BinaryEdge.io来进行查找就可以得到相应的信息。>>详细

　　技术观澜

　　BlackHeart勒索病毒再度来袭

　　BlackHeart(黑心)勒索病毒家族是一款使用NET语言进行编写的勒索病毒，之前深信服EDR安全团队已经报道过它的变种家族样本捆绑知名的远程软件AnyDesk进行传播，此次深信服EDR安全团队发现的是它的一个家族的最新的变种，加密算法仍然使用AES+RSA，加密后的文件无法还原，加密后的文件后缀名为mariacbc。>>详细

　　市面上多种流行的固态硬盘产品存在硬盘加密机制绕过漏洞

　　荷兰奈梅亨拉德堡德大学研究人员发现，市面上多种流行的固态硬盘（ SSD drive）存在加密机制可绕过漏洞，无需密码即可绕过硬盘加密措施，从而获取到硬盘中的数据内容。>>详细

　　200行代码 一行行教你自制微信机器人

　　用一个windows客户端工具运营公众号，真的很局限。虽然工具的功能很强大，能自动添加好友，自动拉好友入群，关键字回复等等，但是有一个绕不开的点，它是一款客户端工具，一款exe软件。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年11月-05日-2018年11月11日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞172个，其中高危漏洞70个、中危漏洞89个、低危漏洞13个。漏洞平均分值为6.30。上周收录的漏洞中，涉及0day漏洞47个（占27%），其中互联网上出现“FoscamOpticam i5栈缓冲区溢出漏洞、Shipping System CMS SQL注入漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Google产品安全漏洞

　　安卓（Android）是一种基于Linux的自由及开放源代码的操作系统，由谷歌公司和开放手机联盟领导及开发。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

　　CNVD收录的相关漏洞包括：Google Android Framework权限提升漏洞（CNVD-2018-22761、CNVD-2018-22760、CNVD-2018-22762、CNVD-2018-22763、CNVD-2018-22764、CNVD-2018-22766、CNVD-2018-22765）、Google Android Mediaframework权限提升漏洞（CNVD-2018-22767）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　IBM产品安全漏洞

　　IBM Robotic ProcessAutomation with Automation Anywhere是一套流程自动化解决方案。IBM DB2是一套关系型数据库管理系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取root访问权限，覆盖系统上的文件，破坏数据库，执行任意代码等。

　　CNVD收录的相关漏洞包括：IBM RoboticProcess Automation with Automation Anywhere信息泄露漏洞（CNVD-2018-22535、CNVD-2018-22536）、IBM RoboticProcess Automation with Automation Anywhere远程代码执行漏洞、IBM DB2权限访问控制漏洞、IBM DB2提权漏洞（CNVD-2018-22924、CNVD-2018-22925、CNVD-2018-22927、CNVD-2018-22926）。其中，“IBM RoboticProcess Automation with Automation Anywhere远程代码执行漏洞、IBM DB2权限访问控制漏洞、IBM DB2提权漏洞（CNVD-2018-22925、CNVD-2018-22926）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　Apple iOS是为移动设备所开发的一套操作系统；tvOS是一套智能电视操作系统；watchOS是一套智能手表操作系统。Apple macOSSierra、macOS High Sierra和macOS Mojave都是专为Mac计算机所开发的不同版本的专用操作系统。Apple Supportfor iOS是一款基于iOS系统的在线支持应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，以系统权限执行任意代码（内存破坏）。

　　CNVD收录的相关漏洞包括：多款Apple产品Kernel代码执行漏洞、Apple macOSSierra、macOS High Sierra和macOS Mojave dyld权限提升漏洞、Apple macOSSierra、macOS High Sierra和macOS Mojave IOGraphics代码执行漏洞、Apple macOSSierra、macOS HighSierra和macOS Mojave Kernel代码执行漏洞、Apple macOSMojave Kernel缓冲区溢出漏洞、Apple macOS High Sierra Grand Central Dispatch代码执行漏洞、Apple iOSIOHIDFamily远程代码执行漏洞、Apple Support for iOS Analytics信息泄露漏洞。其中，除“Apple Supportfor iOS Analytics信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Mozilla产品安全漏洞

　　Mozilla Firefox是一款开源Web浏览器。Firefox ESR是Firefox的一个延长支持版本。Mozilla Firefox for Android是一款基于Android平台的开源Web浏览器。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

　　CNVD收录的相关漏洞包括：Mozilla Firefox混合内容漏洞、Mozilla Firefox ESR存在多个内存破坏漏洞、Mozilla Firefox for Android信息泄露漏洞、Mozilla Firefox欺骗漏洞、Mozilla Firefox和Firefox ESR权限提升漏洞、Mozilla Firefox和Firefox ESR未授权访问漏洞、Mozilla Firefox和Firefox ESR任意代码执行漏洞（CNVD-2018-22936、CNVD-2018-22935）。其中，“Mozilla Firefox ESR存在多个内存破坏漏洞、Mozilla Firefox和FirefoxESR权限提升漏洞、Mozilla Firefox和Firefox ESR任意代码执行漏洞（CNVD-2018-22936、CNVD-2018-22935）”的综合评级为“高危”。

　　LiquidVPN For macOS权限提升漏洞

　　LiquidVPN For MacOS是一款基于MacOS平台的用于匿名访问互联网的VPN软件。上周，LiquidVPN For MacOS被披露存在权限提升漏洞。攻击者可利用该漏洞获取提升的权限。

　　小结

　　上周，Google被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。此外，IBM、Apple、Mozilla等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，以系统权限执行任意代码（内存破坏）等。另外，LiquidVPN For MacOS被披露存在权限提升漏洞。攻击者可利用该漏洞获取提升的权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、中国网信网、驱动之家、cnBeta、CSDN、安全牛、FreebuF.COM报道

责任编辑：韩希宇