国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞213个，互联网上出现“DegrauPublicidade e Internet Plataforma de E-commerce SQL注入漏洞、webERPManufacturing组件SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　公安部网络安全保卫局发布《互联网个人信息安全保护指引（征求意见稿）》（附全文）

　　为深入贯彻落实《网络安全法》，指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况。>>详细

　　工信部将开展移动恶意程序专项治理工作

　　全行业围绕电信和互联网行业网络安全检查、国家重大活动网络安全保障、网络安全宣传周、突发事件应急等方面积极开展相关工作。>>详细

　　CFCA张行：应用公钥基础设施 保障金融网络安全

　　张行从密码学的原理讲述了公钥基础设施是如何为用户解决身份认证、数据传输的机密性、交易信息的完整性、业务的法律效力等方面的问题，并强调，只有合法、公正的第三方CA认证才能保证电子签名的可靠性。>>详细

　　万豪2015年曾有机会发现漏洞 黑客在系统中潜伏3年

　　万豪国际集团表示，在获悉近几周内有大量客户数据被窃取之后，公司很快采取了应对措施。但是网络安全专家称，几年前，万豪就已经错失了预防数据泄露的良机。>>详细

　　微信支付勒索病毒案告破：22岁嫌疑人被抓 事情全过程曝光

　　根据上级公安机关“净网安网2018”专项行动有关部署，近日，东莞网警在省公安厅网警总队的统筹指挥，以及腾讯和360公司的大力协助下，24小时内火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案，抓获病毒研发制作者1名，缴获木马程序和作案工具一批。>>详细

　　海外版“知乎”Quora 遭黑客入侵 近一亿用户信息泄露

　　12月4日早上，国外知名问答社区 Quora 在其博客上发布安全公告称，某个系统遭遇第三方入侵，近一亿用户重要信息可能已经泄露。>>详细

　　美国首个生物识别航站楼开启 乘客可以“刷脸”登机

　　“刷脸”就可以登机？这不是科幻，而是现实。据美国有线电视新闻网4日报道，亚特兰大哈兹菲尔德-杰克逊国际机场开启了全美首个“生物识别航站楼”。>>详细

　　个人信息保护小常识

　　仔细查看网址，不轻易接收和安装不明软件，慎重填写银行账户和密码。>>详细

　　技术观澜

　　白话物联网安全：什么是物联网的信息安全

　　物联网就是物物相连的网络，也就末端物理设备之间因为某种需要进行交换和通信，为了让他们之间能够通信，设备本身进行信息传感，然后依赖于我们现在的互联网把信息传递，最后进行智能识别。>>详细

　　HASSH : 一种新型网络指纹识别标准 可用于识别特定的客户端和服务器SSH

　　实际上，“HASSH”更像是一种新型的网络指纹识别标准，因为它可以用来识别特定的客户端或服务器端SSH的实现方式。由于HASSH在存储指纹时采用的是MD5指纹，这样就降低了数据存储、搜索和共享的开销。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年11月26日-2018年12月02日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞213个，其中高危漏洞45个、中危漏洞159个、低危漏洞9个。漏洞平均分值为5.69。上周收录的漏洞中，涉及0day漏洞66个（占31%），其中互联网上出现“DegrauPublicidade e Internet Plataforma de E-commerce SQL注入漏洞、webERPManufacturing组件SQL注入漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Google产品安全漏洞

　　Google Chrome是一款Web浏览器。Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过沙盒，执行任意代码或发起拒绝服务攻击。CNVD收录的相关漏洞包括：Google AndroidBootloader缓冲区溢出漏洞、Google Android debugfs模块缓冲区溢出漏洞、Google Android Soc Infrastructure缓冲区溢出漏洞、Google Chrome PDFium堆缓冲区溢出漏洞（CNVD-2018-24369）、Google Chrome ANGLE内存破坏漏洞、Google Chrome V8内存错引用漏洞、Google Chrome V8远程代码执行漏洞、Google Chrome AppCache沙盒绕过漏洞。上述漏洞的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Linux产品安全漏洞

　　Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Linux kernel'mm/vmacache.c'本地权限提升漏洞、Linux Kernel'fs/proc/base.c'本地信息泄露漏洞、Linux kernel信息泄露漏洞（CNVD-2018-24296）、Linux kernel越界访问漏洞、Linux kernel内存错误引用漏洞（CNVD-2018-24386、CNVD-2018-24384、CNVD-2018-24387）、Linux kernel越界访问漏洞（CNVD-2018-24385）。其中，“Linux kernel内存错误引用漏洞（CNVD-2018-24384）、Linux kernel越界访问漏洞（CNVD-2018-24385）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Oracle产品安全漏洞

　　Oracle E-Business Suite是在原来Application（ERP）基础上的扩展，包括ERP（企业资源计划管理）、HR（人力资源管理）、CRM（客户关系管理）等等多种管理软件的集合，是无缝集成的一个管理套件。Oracle FLEXCUBE UniversalBanking是一项实时、在线、全面的全球核心银行业务方案，涵盖零售、企业及投资银行业务。Oracle Banking Payments是一个完整的支付处理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响机密性、完整性和可用性。

　　CNVD收录的相关漏洞包括：Oracle E-Business Suite信息泄露漏洞、Oracle FLEXCUBE Universal Banking信息泄露漏洞（CNVD-2018-24134）、Oracle FLEXCUBE UniversalBanking存在未明漏洞（CNVD-2018-24135、CNVD-2018-24136、CNVD-2018-24137）、Oracle FLEXCUBE Universal Banking拒绝服务漏洞（CNVD-2018-24140）、Oracle Banking Payments信息泄露漏洞（CNVD-2018-24143）、Oracle Banking Payments拒绝服务漏洞。目前，厂商已经发布了上述漏洞的修补程序。

　　IBM产品安全漏洞

　　IBM Spectrum Protect（前称Tivoli Storage Manager）是一套数据保护平台，它为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum ProtectClient是它的客户端程序。Spectrum Protect forVirtual Environments是虚拟环境版本。IBM Maximo AssetManagement是一套综合性资产生命周期和维护管理解决方案。IBM WebSphere Portal是一套企业门户软件。IBM Cloud是一套开放式标准的云平台。WebSphere Application Server是其中的一款应用服务器产品，它是Java EE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。IBM Rational Engineering Lifecycle Manager是一套工程生命周期管理软件。IBM Rational Collaborative Lifecycle Management是一套协作化生命周期管理解决方案。Rational Quality Manager（RQM）是一套协作的、基于Web的质量管理解决方案。Jazz Foundation是其中的一个软件开发协作平台。IBM Spectrum Symphony是一套用于在共享网格上运行计算和数据密集型分布式应用程序的企业级管理软件。IBM DB2是一套关系型数据库管理系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：IBM Spectrum ProtectClient和Spectrum Protect for Virtual Environments拒绝服务漏洞、IBM Maximo Asset Management跨站脚本漏洞（CNVD-2018-24264）、IBM WebSphere Portal跨站脚本漏洞（CNVD-2018-24362）、IBM WebSphere ApplicationServer信息泄露漏洞（CNVD-2018-24363）、IBM Rational Engineering Lifecycle Manager XML外部实体注入漏洞（CNVD-2018-24366）、IBM Jazz Foundation跨站脚本漏洞（CNVD-2018-24367）、IBM Spectrum Symphony信息泄露漏洞、IBM DB2 db2pdcfg缓冲区溢出漏洞。其中，“IBM Rational EngineeringLifecycle Manager XML外部实体注入漏洞（CNVD-2018-24366）、IBM DB2 db2pdcfg缓冲区溢出漏洞”的综合评级为“高危”。

　　PbootCMS代码执行漏洞

　　PbootCMS是一款使用PHP语言开发的开源企业建站内容管理系统（CMS）。上周，PbootCMS被披露存在代码执行漏洞。远程攻击者可利用该漏洞执行代码。

　　小结

　　上周，Google被披露存在多个漏洞，攻击者可利用漏洞绕过沙盒，执行任意代码或发起拒绝服务攻击。此外，Linux、Oracle、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，发起拒绝服务攻击等。另外，PbootCMS被披露存在代码执行漏洞。远程攻击者可利用该漏洞执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、工信部网站、中国信息安全、新浪科技、新闻晨报、FreebuF.COM、互联网金融支付安全联盟、平安东莞报道

责任编辑：韩希宇