国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞244个，互联网上出现“JoomlaContent Editor Com_JCE组件信息泄露漏洞、Avahi拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　为保5G订单华为接受英国要求：提升网络安全性

　　英国安全官员曾要求华为解决在其设备和软件中发现的严重风险，为了避免被未来的英国5G电信网络拒之门外，华为宣称已经接受这些要求。>>详细

　　百度云宣布边缘计算开源 发布智能边缘开源平台OpenEdge

　　借助开源的OpenEdge，开发人员可以更灵活地开发自己的边缘解决方案和应用。百度云期待利用社区的力量为国内边缘计算技术营造良好生态，促进边缘计算在中国快速发展，加速更多行业人工智能应用落地。>>详细

　　金融科技助力中小企业金融服务

　　CFCA为近3000家银行提供金融科技服务，他们当前关注的问题也是CFCA在力图解决的，并从“精准营销”“身份认证”“风险监控”三个维度，对CFCA如何利用金融科技手段助力中小企业金融服务进行了详细解读与分析。>>详细

　　用户隐私暴露隐患滋生 Google＋将提前4个月关闭

　　Google周一表示，将其Google+社交媒体服务的关闭时间提前到明年4月，这比预计的时间早了4个月。此前该公司发现该软件的第二个漏洞，允许合作伙伴的应用程序访问其用户的私人数据。>>详细

　　微软呼吁全球政府加强对面部识别技术的监管

　　在面部识别领域，Facebook、谷歌等科技巨头正面临着来自立法者和其他人对其隐私做法的强烈反对，微软试图推动对新兴技术的监管可能是为了避免同样的境地。>>详细

　　技术观澜

　　了解云计算的历史和优势

　　云计算使组织能够专注于其核心业务，而不是努力构建高级计算机基础设施。云计算的另一大好处是，它提供“即用即付”或“按使用付费”模式意味着企业只需为其使用的资源付费。它可以降低企业的运营成本。>>详细

　　TrickBot银行木马最新的POS相关模块psfin32分析

　　TrickBot通过不断增加窃取用户凭证的新模块而不断进化，我们已发布的最新进展是关于它的pwgrab32模块。最近，我们又发现了一个新的POS相关的恶意模块，使得该银行木马更加危险。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年12月03日-2018年12月09日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞244个，其中高危漏洞108个、中危漏洞110个、低危漏洞26个。漏洞平均分值为6.33。上周收录的漏洞中，涉及0day漏洞113个（占46%），其中互联网上出现“JoomlaContent Editor Com_JCE组件信息泄露漏洞、Avahi拒绝服务漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　IBM产品安全漏洞

　　IBM QRadar SIEM是一套利用安全智能保护资产和信息远离高级威胁的解决方案。IBM WebSphere Cast Iron是一款基于云计算的软件。IBM Security Identity Governance and Intelligence（IGI）是一套身份管理和治理解决方案。IBM QRadar SIEM是一套利用安全智能保护资产和信息远离高级威胁的解决方案。

　　IBM QRadar IncidentForensics是一套安全取证调查软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令或发起拒绝服务攻击（消耗内存资源）。

　　CNVD收录的相关漏洞包括：IBM QRadar SIEM XML外部实体注入漏洞（CNVD-2018-24553）、IBM WebSphere Cast Iron 信息泄露漏洞、IBM Security Identity Governance and Intelligence信息泄露漏洞（CNVD-2018-24621、CNVD-2018-24622、CNVD-2018-24624、CNVD-2018-24627）、IBM QRadar SIEM OS命令注入漏洞（CNVD2018-24637）、IBM QRadar Incident Forensics拒绝服务漏洞。其中，“IBM QRadar SIEM XML外部实体注入漏洞（CNVD-2018-24553）、IBM WebSphere Cast Iron信息泄露漏洞、IBM QRadar SIEM OS命令注入漏洞（CNVD-2018-24637）”的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　AppleiOS是为移动设备所开发的一套操作系统；Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。WebKit是其中的一个Web浏览器引擎组件。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码（内存破坏）。

　　CNVD收录的相关漏洞包括：多款Apple产品WebKit内存破坏漏洞（CNVD-2018-24561、CNVD-2018-24562、CNVD-2018-24563、CNVD-2018-24567、CNVD-2018-24568、CNVD-2018-24569、CNVD-2018-24570、CNVD-2018-24571）。上述漏洞的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Foxit产品安全漏洞

　　FoxitReader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF forWindows是它的商业版。上周，上述产品被披露存在内存错误引用漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

　　CNVD收录的相关漏洞包括：Foxit Reader和Foxit PhantomPDF for Windows内存错误引用漏洞（CNVD-2018-24458、CNVD-2018-24459、CNVD-2018-24460、CNVD-2018-24461、CNVD-2018-24462、CNVD-2018-24463、CNVD-2018-24464）。上述漏洞的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Linux产品安全漏洞

　　Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，造成拒绝服务。

　　CNVD收录的相关漏洞包括：Linux kernel拒绝服务漏洞（CNVD-2018-24474、CNVD-2018-24548、CNVD-2018-24552）、Linux kernel无效指针解引用漏洞（CNVD-2018-24481、CNVD-2018-24480）、Linux kernel空指针解引用漏洞（CNVD-2018-24483）、Linux kernel拒绝服务漏洞（CNVD-2018-24547）、Linux kernel KVM virtualization子系统权限提升漏洞。上述漏洞的综合评级为为“高危”。

　　INVT Electric VT-Designer堆缓冲区溢出漏洞

　　Electric VT-Designer是一款图形开发工具。上周，INVT Electric VT-Designer被披露存在堆缓冲区溢出漏洞。远程攻击者可利用该漏洞造成程序崩溃或执行代码。

　　小结

　　上周，IBM被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令或发起拒绝服务攻击（消耗内存资源）。此外，Apple、Foxit、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，造成拒绝服务。另外，PbootCMS被披露堆缓冲区溢出漏洞。远程攻击者可利用该漏洞造成程序崩溃或执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、网易科技、CSDN、FreebuF.COM、机房360、猎云网、PingWest中文网报道

责任编辑：韩希宇