国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞293个，互联网上出现“Joomla Com_Attachments组件文件上传漏洞、VFront跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

国家互联网信息办公室关于《个人信息出境安全评估办法（征求意见稿）》公开征求意见的通知

国家互联网信息办公室会同有关部门起草了《个人信息出境安全评估办法（征求意见稿）》，现向社会公开征求意见。>>详细

都在这里了，Ⅱ、Ⅲ类银行账户风险监控应关注的指标

经过近四年的发展，Ⅱ、Ⅲ类银行账户满足了社会公众多样化、个性化的支付需求，促进了银行支付服务进一步便捷化。>>详细

筑起技术经济安全“防火墙” 我国将建立国家技术安全管理清单制度

技术安全管理清单制度不仅能够有效预防和化解国家安全风险，也将为我国实现创新驱动、走高质量发展之路奠定更加坚实的制度基础。>>详细

黑客窃取了美国边境管理局的生物识别信息数据库，这也提醒我们，是时候重视“个人生物信息”的保护了！

随着人工智能应用的成熟，越来越多的生物识别技术被广泛应用到生活和工作中，不过这也带来了生物信息安全问题。>>详细

苹果将在iOS 13中推出加密开发包CrytoKit 密钥存储在SE中

在密钥存储和管理上，可以让密钥存储在Secure Enclave中，并由其管理密钥。Secure Enclave是苹果上的安全隔离区，用以安全存储数据。>>详细

微软发布警告 黑客利用Office漏洞发动垃圾邮件攻击

微软公司安全研究人员日前发出警告称，当用户打开RTF（多文本格式）文档时，恶意软件将在没有与用户交互的情况下感染其电脑，这股携带恶意RTF文档的垃圾邮件浪潮正在蔓延。>>详细

技术观澜

CVE-2019-9510：攻击者利用RDP 0 day漏洞可绕过锁屏

在客户端已经连接到服务器而且锁屏的情况下，如果网络异常触发了临时的RDP断开，无论远程系统的状态，重新连接RDP会话都会恢复到unlocked状态。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019 年6 月3 日-9 日）信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞171个，其中高危漏洞54个、中危漏洞103个、低危漏洞14个。漏洞平均分值为5.77。上周收录的漏洞中，涉及0day漏洞36个（占21%），其中互联网上出现“WordPress插件Ad-Manager开放重定向漏洞、EmpireCMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Acrobat是一款PDF编辑软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat和Reader信息泄露漏洞（CNVD-2019-16540）、Adobe Acrobat和Reader堆溢出漏洞（CNVD-2019-16536、CNVD-2019-16535）、Adobe Acrobat和Reader类型混淆漏洞（CNVD-2019-16538、CNVD-2019-16537、CNVD-2019-16539）、Adobe Acrobat和Reader越界读取漏洞（CNVD-2019-16541、CNVD-2019-16542）。其中，除“Adobe Acrobat和Reader越界读取漏洞（CNVD-2019-16541、CNVD-2019-16542）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle E-Business Suite（电子商务套件）是一套全面集成式的全球业务管理软件。Oracle Database Server是一套关系数据库管理系统。Oracle MySQL是一套开源的关系数据库管理系统。Oracle Retail Applications是一套零售应用商店解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的保密性、完整性和可用性。

CNVD收录的相关漏洞包括：Oracle E-Business SuiteOne-to-One Fulfillment访问控制错误漏洞、Oracle Database ServerCore RDBMS访问控制错误漏洞、Oracle Database ServerJava VM访问控制错误漏洞、Oracle MySQL Server访问控制错误漏洞（CNVD-2019-16278、CNVD-2019-16397）、Oracle Retail Applications Retail Convenience Store Back Office访问控制错误漏洞、Oracle Retail Applications MICROS Relate CRMSoftware访问控制错误漏洞、Oracle Retail ApplicationsMICROS Lucas访问控制错误漏洞。其中，“Oracle E-Business SuiteOne-to-One Fulfillment访问控制错误漏洞、Oracle Database ServerCore RDBMS访问控制错误漏洞、Oracle Database ServerJava VM访问控制错误漏洞、Oracle Retail ApplicationsRetail Convenience Store Back Office访问控制错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Graphics Device Interface（GDI）是其中的一个图形设备接口。Microsoft ChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分，也可作为单独的JavaScript引擎使用。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在缓冲区溢出和远程代码执行漏洞，攻击者可利用漏洞执行任意代码，造成内存破坏。

CNVD收录的相关漏洞包括：Microsoft Edge和ChakraCore缓冲区溢出漏洞（CNVD-2019-16511）、Microsoft Windows GDI远程代码执行漏洞（CNVD-2019-16510）、Microsoft ChakraCore和Microsoft Edge远程代码执行漏洞（CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748）、Microsoft Edge远程代码执行漏洞（CNVD-2019-16747）、Microsoft Edge和ChakraCore远程代码执行漏洞（CNVD-2019-16749）、多款Microsoft产品远程代码执行漏洞（CNVD-2019-16750）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取网站管理员访问权限，发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：Linux kernel输入验证错误漏洞、Linux kernel内存泄露漏洞、Linux kernel内存分配失败处理不当漏洞、Linux kernel拒绝服务漏洞（CNVD-2019-16431、CNVD-2019-16432、CNVD-2019-16590、CNVD-2019-16599、CNVD-2019-16428）。其中，“Linux kernel输入验证错误漏洞、Linux kernel拒绝服务漏洞（CNVD-2019-16590、CNVD-2019-16599）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Samsung SCX-824跨站脚本漏洞

Samsung SCX-824是一款多功能打印机。Samsung SCX-824被披露存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

小结

上周，Adobe被披露存在缓冲区溢出漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码。此外，Oracle、Microsoft、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取网站管理员访问权限，执行任意代码，造成内存破坏等。Samsung SCX-824被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、腾讯科技、央广网、嘶吼网、蓝狐笔记报道

责任编辑：韩希宇