国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞230个，互联网上出现“ApacheAxis代码执行漏洞、QCMS跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

信息“裸奔”时代，南都携手CFCA助力个人隐私保护

网络信息技术和数字经济快速发展，各种App、网站对用户信息的搜集使用日渐频繁，公民个人信息被泄露、滥用的情况时有发生。大数据时代，如何保护好个人隐私?>>详细

北京市人民政府办公厅转发市公安局《关于电子印章管理工作意见》的通知

电子个人名章是指单位或者机构的法定代表人、经营者、主要负责人、财务负责人、单位或机构授权代表人等人员用于单位或者机构事务办理的个人名章的电子化形式。>>详细

手机银行背后的黑科技：左手便捷 右手安全

由于方案采用本地生物识别认证模式，支持TEE/SE级别的密钥保护，用户私钥和生物信息等不能导出设备终端，服务器端数据库存储的是用户公钥集，从根本上杜绝了隐私信息泄露的风险。>>详细

央行澄清新版信用报告误读 夫妻共同借款有权威说法

在实际采集时，征信中心将与相关数据源单位协商，并将严格落实《征信业管理条例》第十三条“采集个人信息应当经信息主体本人同意，未经本人同意不得采集”的规定。>>详细

隐私泄露、“牟利”攻击、黑产蔓延 拿什么拯救移动端安全？

分析当前攻击者的“牟利”思路，攻击手段主要可分为非接触式与接触式两大类。比如，诱导被害人主动操作，或通过已有数据主动攻击被害者，这都属于非接触式攻击；对被害人和设备进行直接攻击，甚至是通过多次获取被害人设备实施攻击，皆为接触式攻击。>>详细

搜WiFi热点Android应用数据泄露：涉200多万WiFi密码

目前已有数千人下载了这款WiFi Finder应用，它允许用户搜索附近的WiFi网络。但同时，这款应用也允许用户将WiFi密码从自己的设备上传到数据库，供其他人使用。>>详细

国科微与龙芯中科战略合作 推首款全国产SSD控制芯片

在CPU和操作系统纳入国产计算机关键软硬件政府采购目录之后，实现存储的安全尤其是固态硬盘控制芯片的国产化和安全可信化，是我国国家信息安全战略得以有效推进的重要保障。>>详细

技术观澜

B站后台疑似“被开源”数小时，官方回应内容两次秒删

仔细查看该项目内容，还包含有各部分项目详细的负责人姓名拼音，源码内还包含部分用户名和密码。看来这次事件不大简单……>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年04月15日-2019年04月21日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞230个，其中高危漏洞96个、中危漏洞115个、低危漏洞19个。漏洞平均分值为6.13。上周收录的漏洞中，涉及0day漏洞122个（占53%），其中互联网上出现“ApacheAxis代码执行漏洞、QCMS跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Bridge是一款免费数字资产管理应用程序。Adobe Shockwave Player是一款多媒体播放器产品。上周，上述产品被披露存在内存错误引用和内存破坏漏洞，攻击者可利用漏洞获取信息，执行任意代码。

CNVD收录的相关漏洞包括：Adobe Bridge CC内存错误引用漏洞、Adobe Shockwave Player内存破坏漏洞（CNVD-2019-10620、CNVD-2019-10621、CNVD-2019-10623、CNVD-2019-10622、CNVD-2019-10625、CNVD-2019-10624、CNVD-2019-10626）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Microsoft产品安全漏洞

Windows是美国微软公司研发的一套操作系统，Windows采用了图形化模式GUI。Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，造成内存破坏。

CNVD收录的相关漏洞包括：Microsoft Windows Win32k权限提升漏洞（CNVD-2019-10041、CNVD-2019-10043、CNVD-2019-10042）、Microsoft InternetExplorer VBScript引擎远程代码执行漏洞、Microsoft InternetExplorer脚本引擎内存破坏漏洞（CNVD-2019-10617、CNVD-2019-10616）、Microsoft InternetExplorer VBScript引擎远程代码执行漏洞（CNVD-2019-10619、CNVD-2019-10618）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Cisco产品安全漏洞

Cisco IOS XE是一个基于Linux内核的模块化操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，以root用户身份执行任意命令或造成拒绝服务。

CNVD收录的相关漏洞包括：Cisco IOS XE命令注入漏洞（CNVD-2019-10454、CNVD-2019-10460、CNVD-2019-10462）、Cisco IOS XE权限提升漏洞（CNVD-2019-10455、CNVD-2019-10463）、Cisco IOS XE ETA拒绝服务漏洞、Cisco IOS XE任意文件上传漏洞、Cisco IOS XE信息泄露漏洞。其中，除“Cisco IOS XE信息泄露漏洞、Cisco IOS XE命令注入漏洞（CNVD-2019-10462）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Oracle产品安全漏洞

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。上周，该产品被披露存在拒绝服务漏洞，攻击者可利用漏洞造成拒绝服务（挂起或频繁崩溃），影响数据的可用性。

CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10368、CNVD-2019-10372、CNVD-2019-10374、CNVD-2019-10373、CNVD-2019-10376、CNVD-2019-10375）。其中，除“Oracle MySQL Server拒绝服务漏洞（CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10372）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

D-Link DI-524跨站脚本漏洞

D-Link DI-524是一款无线路由器。D-Link DI-524被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

小结

上周，Adobe被披露存在内存错误引用和内存破坏漏洞，攻击者可利用漏洞获取信息，执行任意代码。此外，Microsoft、Cisco、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，造成内存破坏等。另外，D-Link DI-524被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、北京市人民政府网站、证券时报、新浪科技、同花顺财经、FreeBuf报道

责任编辑：韩希宇