国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞198个，互联网上出现“Mantis'manage_proj_page.php' PHP 代码注入漏洞、Tarantella Enterprise路径遍历漏洞”等代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　践行金融标准化 构筑支付安全防火墙

　　人民银行发布的《2018年第三季度支付体系运行总体情况》显示，第三季度，银行业金融机构共处理电子支付业务452.36亿笔，金额592.43万亿元。其中，网上支付业务148.93亿笔，金额495.24万亿元，同比分别增长23.21%和12.58%。>>详细

　　共建网络可信良好生态 CFCA建言献策

　　PKI技术主要是解决两个问题，一是安全问题，一是法律问题，前者是技术层面的，后者突出的是PKI的法律属性。从银行、基金、证券、信托、保险、招投标、电子政务等较为传统的场景到如今业内热议的区块链、物联网这些新场景，均会涉及PKI技术的应用。>>详细

　　征信公司“得数据者得天下” 行业监管难以覆盖

　　我国法律还没有明确规定哪些是个人数据、哪些数据能够传输、数据应该脱敏到哪一步以及信息流转的界限等，这些细则不规范，个人信息的流通和数据的使用就会陷入模棱两可的阶段。>>详细

　　隐私安全逆风：原来我的隐私信息被扒得一干二净

　　我的隐私数据都在被谁使用？这个问题如果是在2018年以前问，或许可能很多人都一笑了之。很多人在使用APP之前遇到的“隐私政策”弹窗，往往都是看都不看一眼，就点击了同意。>>详细

　　年度最差密码：123456连续五年第一 特朗普名字上榜

　　“年度最差密码排行榜（也称年度最流行密码）”是他们每年都会总结的一个榜单。与前几年一样，2018年也发生了许多备受瞩目的数据泄露事件，但许多人仍在继续为自己账户使用容易猜测的密码。>>详细

　　利用“手机号+验证码”盗刷 被广州增城警方一举抓获

　　该团伙中主要负责制作伪基站设备的嫌疑人俞某，是一名医院检验科医生，从小痴迷于无线电，经常浏览关于无线电、电脑技术的论坛，在看到网上有人讨论相关话题和设备，并且有市场需求，俞某便自己钻研制作，再后在网上进行销售。>>详细

　　思科宣布以6.6亿美元收购光学芯片制造商Luxtera

　　Luxtera开发了硅光子技术，这种技术将编码成光子信息转换成光纤直接传输到半导体中，极大地加快了数据传输速度。思科表示，Luxtera先进的芯片技术，将帮助思科满足商业客户对快速和高性能网络服务的需求。>>详细

　　外媒：富士康未与高通就专利诉讼进行和解谈判

　　一直以来，苹果都在使用高通的Modem芯片，以确保iPhone手机能够连接无线数据网络。但去年年初，苹果将高通告上法庭，指控高通收取过高的芯片专利使用费，并拒绝归还承诺退回的10亿美元专利使用费。>>详细

　　技术观澜

　　关于代码审查 那些你不曾关注的细节

　　在工作中，我们都要进行代码审查。每个人都知道代码审查，每个人都会做代码审查（至少我希望你会做）。但如果花点时间讨论一下，你就会发现在“良好的代码审查应该做些什么”这个问题上，可谓仁者见仁智者见智。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年12月10日-2018年12月16日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞198个，其中高危漏洞71个、中危漏洞108个、低危漏洞19个。漏洞平均分值为5.99。上周收录的漏洞中，涉及0day漏洞29个（占15%），其中互联网上出现“Mantis'manage_proj_page.php' PHP代码注入漏洞、Tarantella Enterprise路径遍历漏洞”等代码攻击漏洞。

　　上周重要漏洞安全告警

　　Foxit产品安全漏洞

　　Foxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。上周，上述产品被披露存在内存错误引用漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

　　CNVD收录的相关漏洞包括：Foxit Reader 和Foxit PhantomPDF for Windows内存错误引用漏洞（CNVD-2018-25189、CNVD-2018-25190、CNVD-2018-25192、CNVD-2018-25193、CNVD-2018-25194、CNVD-2018-25195、CNVD-2018-25196、CNVD-2018-25197）。上述漏洞的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　IBM产品安全漏洞

　　IBM QRadar Advisor with Watson是一套安全威胁分析解决方案。IBM QRadar Incident Forensics是一套安全取证调查软件。IBM DataPower Gateway是一套专门为移动、云、应用编程接口（API）、网络、面向服务架构（SOA）、B2B和云工作负载而设计的安全和集成平台，它可利用专用网关平台跨渠道保护、集成和优化访问。IBM SDK是一套用于创建、发现、调用和测试Web服务的集成工具包。IBM Campaign（前称Unica Campaign）是一套用于帮助营销人员设计、执行、衡量和优化营销广告的管理解决方案。IBM Security AccessManager是一款应用于信息安全管理的产品。IBM BigFix Platform是一套动态的集成了消息内容驱动和管理系统的多技术平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：IBM QRadar Advisor with Watson信息泄露漏洞、IBM QRadar IncidentForensics信息泄露漏洞（CNVD-2018-25037）、IBM DataPower Gateway拒绝服务漏洞、IBM SDK java.math组件拒绝服务漏洞、IBM Campaign 权限访问控制漏洞、IBM Security Access Manager信息泄露漏洞（CNVD-2018-25399、CNVD-2018-25404）、IBM BigFix Platform信息泄露漏洞（CNVD-2018-25405）。其中，“IBMCampaign权限访问控制漏洞”的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Siemens产品安全漏洞

　　SiemensSINUMERIK 808D等都是数控机床系统控制器。Siemens TIM 1531 IRC是一款通信模块。Siemens EN100 EthernetCommunication Module是一款以太网模块产品。SIPROTEC 5 relays是一款继电器。Siemens SIMATIC S7-400是一款用于制造和过程自动化领域的可编程逻辑控制器产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行越界读取，任意写入，执行代码，造成拒绝服务，影响系统的保密性、可用性和完整性。

　　CNVD收录的相关漏洞包括：多款Siemens产品整数溢出漏洞、多款Siemens产品缓冲区溢出漏洞、多款Siemens产品本地访问权限漏洞、多款Siemens产品远程代码执行漏洞、Siemens TIM 1531 IRC身份验证漏洞、Siemens EN100 Ethernet Communication Module和SIPROTEC 5 relays拒绝服务漏洞、Siemens EN100 EthernetCommunication Module拒绝服务漏洞、Siemens SIMATIC S7-400输入验证漏洞。上述漏洞的综合评级为为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　Google Chrome是一款Web浏览器。Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Google Kubernetes是一套开源的Docker 容器集群管理系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过权限策略，执行任意代码。

　　CNVD收录的相关漏洞包括：Google Chrome权限绕过漏洞、Google Android缓冲区溢出漏洞（CNVD-2018-25279）、Google Chrome DevTools代码执行漏洞、Google Chrome Skia任意代码执行漏洞、Google Chrome ServiceWorker信息泄露漏洞、Google Chrome WebAssembly内存错误引用漏洞、Google Kubernetes权限访问控制漏洞、Google Chrome PDFium内存错误引用漏洞（CNVD-2018-25308）。其中，除“Google Chrome ServiceWorker信息泄露漏洞”外，其余漏洞的综合评级为为“高危”。

　　Anker Nebula Capsule Pro拒绝服务漏洞

　　Anker Nebula Capsule Pro是一款投影仪设备。上周，Anker Nebula Capsule Pro被披露存在拒绝服务漏洞。攻击者可借助特制的应用程序向WifiService发送数据利用该漏洞造成拒绝服务（底层Android 7.1.2操作系统重启）。

　　小结

　　上周，Foxit被披露存在内存错误引用漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。此外，IBM、Siemens、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过权限策略，提升权限，执行任意代码，发起拒绝服务攻击等。另外，Anker Nebula Capsule Pro被披露存在拒绝服务漏洞。攻击者可借助特制的应用程序向WifiService发送数据利用该漏洞造成拒绝服务（底层Android 7.1.2操作系统重启）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、中国金融新闻网、新浪科技、腾讯科技、法治周末、CSDN、金羊网报道

责任编辑：韩希宇