国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞350个，互联网上出现“XiaoCms文件上传漏洞、FUELCMS跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

市场监管总局 中央网信办关于开展App安全认证工作的公告

为规范移动互联网应用程序收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》，市场监管总局、中央网信办决定开展App安全认证工作。>>详细

实测！APP“偷看”短信还上传 “老板给我涨工资了”明文可见

记者尝试使用技术实测了143款App，尝试研究在我们把收集权限交给App之后，会发生什么？结果我们在App行为测试的结果中明文看到了App调取了用户的短信内容并上送；此外，还有App向多个第三方服务器发送用户信息，可谓触目惊心。>>详细

电子合同怎样才能安心签？

《中华人民共和国电子签名法》第十四条，规定了可靠的电子签名与手写签名或者盖章具有同等的法律效力。第十六条规定了电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。>>详细

探讨生物特征识别在身份认证的应用安全

本文探讨生物特征识别在应用中所面临的安全隐患，重点讨论伪造生物特征、数据泄露带来的技术挑战，归纳总结针对安全隐患所采取的安全防护手段。>>详细

广发银行出妙招防范个人信息泄露

保护金融消费安全，除了个人提高金融消费信息安全意识外，金融机构增强信息安全知识普及，以科技手段保护用户金融消费安全也必不可少。>>详细

外卖APP在偷听你说话？黑客：技术上能实现，但用户也能先防范起来

近日有媒体称，经过试验发现部分外卖平台app存在“偷听”行为，通过手机、平板电脑等智能终端的麦克风“偷听”用户需求，继而进行精准推荐。对此，被点名的外卖平台均予以否认。>>详细

3·15晚会曝光手机APP泄露个人隐私信息 这只是冰山一角

自从智能机器人开始流行，葛健就经常接到朋友的咨询，“有些人为了防止泄密，不用的时候，就把机器人的插销拔了”。>>详细

保障个人信息安全 必须斩断黑色数据产业链

从“探针盒子”到“外呼机器人”，从收集加工到买卖利用，紧密衔接的个人信息黑色产业链被完整揭露。不承想，“大数据”竟然以如此形式影响着你我的生活。保障个人信息安全，这些“黑色数据”必须根除！>>详细

技术观澜

揭秘计算机之间互发数据的关键原理

天各一方的两台计算机是如何通信的呢？在成千上万的计算机中，为什么一台计算机能够准确着寻找到另外一台计算机，并且把数据发送给它呢？>>详细

一篇报告了解国内首个针对加密流量的检测引擎

攻击者利用SSL加密通道完成恶意软件载荷和漏洞利用的投递和分发，以及受感染主机与命令和控制(C&C)服务器之间的通信。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年03月11日-2019年03月17日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞350个，其中高危漏洞70个、中危漏洞248个、低危漏洞32个。漏洞平均分值为5.31。上周收录的漏洞中，涉及0day漏洞131个（占37%），其中互联网上出现“XiaoCms文件上传漏洞、FUELCMS跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat是一套PDF文件编辑和转换工具，Adobe Reader是一套PDF文档阅读软件。上周，上述产品被披露存在内存错误引用洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat和Reader内存错误引用洞（CNVD-2019-06905、CNVD-2019-06906、CNVD-2019-06907、CNVD-2019-06908、CNVD-2019-06909、CNVD-2019-06910、CNVD-2019-06911、CNVD-2019-06912）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Word是Office套件中的一款文字处理软件。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows AppX Deployment Server是其中的一个应用程序部署服务器。Windows VBScript engine是其中的一个VBScript（脚本语言）引擎。Microsoft Edge是一款Web浏览器。ChakraCore是使用在其中的一个开源的Chakra JavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。 Microsoft InternetExplorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Visual Studio是一款开发工具套件系列产品，也是一个基本完整的开发工具集，它包括了整个软件生命周期中所需要的大部分工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，欺骗，绕过安全功能限制，获取敏感信息，执行远程代码或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：Microsoft Word远程执行代码漏洞、Microsoft Windows VBScript Engine远程执行代码漏洞、Microsoft ChakraCore和Edge远程内存破坏漏洞、Microsoft Internet Explorer远程内存破坏漏洞（CNVD-2019-07239）、Microsoft Edge远程内存破坏漏洞（CNVD-2019-07242）、Microsoft Windows AppX Deployment Server本地权限提升漏洞、Microsoft Edge和InternetExplorer远程内存破坏漏洞（CNVD-2019-07329）、Microsoft Visual Studio远程代码执行漏洞（CNVD-2019-07333）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL是一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞造成拒绝服务（组件挂起或频繁崩溃），影响数据的可用性。

CNVD收录的相关漏洞包括：Oracle MySQL Server组件拒绝服务漏洞（CNVD-2019-07339、CNVD-2019-07341、CNVD-2019-07340、CNVD-2019-07342、CNVD-2019-07344、CNVD-2019-07343、CNVD-2019-07346、CNVD-2019-07348）。目前，厂商已经发布了上述漏洞的修补程序。

Mcafee产品安全漏洞

McAfee ePolicy Orchestrator是一款可扩展的平台,可对安全策略进行集中式策略管理与强制实施。McAfee Total Protection是一套杀毒软件。McAfee Web Gateway（MWG）是一款安全网关产品。McAfee Agent（MA）是一套提供了ePolicy Orchestrator（杀毒软件管理平台）与被管理产品之间的安全通信的客户端组件。agent是其中的一个代理程序。McAfee Application Control是一套程序管控软件，可阻止设备运行未经授权的应用程序。McAfee Change Control是一套变更管控软件，可拦截对应用程序的未授权变更。McAfee True Key（TK）是美国迈克菲（McAfee）公司的一款身份验证应用程序。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感数据，绕过产品自我保护机制，篡改策略及产品文件，卸载McAfee软件，执行任意命令，造成拒绝服务等。

CNVD收录的相关漏洞包括：McAfee Agent提权漏洞、McAfee ePolicy Orchestrator跨站请求伪造漏洞、McAfee Total Protection (MTP)安全限制绕过漏洞、McAfee Web Gateway不当输入验证漏洞、McAfee Agent本地拒绝服务漏洞、McAfee Application Control和Change Control安全限制绕过漏洞、McAfee Agent临时文件不安全处理漏洞、McAfee True Key跨站脚本漏洞。厂商已经发布了上述漏洞的修补程序。

ASUS GT-AC5300拒绝服务漏洞

ASUS GT-AC5300是一款无线路由器。上周，ASUS GT-AC5300被披露存在拒绝服务漏洞。攻击者可通过发送‘GET / HTTP/1.1\r\n’利用该漏洞造成拒绝服务。

小结

上周，Adobe被披露存在内存错误引用洞，攻击者可利用漏洞执行任意代码。此外，Microsoft、Oracle、Mcafee等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，欺骗，绕过安全功能限制，获取敏感信息，执行远程代码或发起拒绝服务攻击等。另外，ASUS GT-AC5300被披露存在拒绝服务漏洞。攻击者可通过发送‘GET / HTTP/1.1\r\n’利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、南方都市报、解放日报、中国金融新闻网、央广网、《中国企业家》、《中国信息安全》、安全牛报道

责任编辑：韩希宇