国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞417个，互联网上出现“TP-Link Archer C1200缓冲区溢出漏洞、MyBB JN-Jones MyBB-2FA插件跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

互信办、发改委、工信部、财政部联合发布《云计算服务安全评估办法》

云计算服务安全评估结果有效期3年。有效期届满需要延续保持评估结果的，云服务商应在届满前至少6个月向办公室申请复评。>>详细

一图读懂 | 《云计算服务安全评估办法》

>>详细

等保2.0发布 CF****云证通促进移动金融业务安全合规发展

在用户使用自己的****签名时，需要用户端、银行端、CF****平台端共同参与，任何一方均无法仿冒用户的签名操作；同时电子签名及证书由CF****进行认证，保证针对签名数据的任何改动均可被发现，保障业务数据的完整性。>>详细

网信办发布《互联网信息服务严重失信主体信用信息管理办法（征求意见稿）》

网信部门依据本办法拟认定的黑名单，应由国家互联网信息办公室归集后按照社会信用体系建设有关规定在“信用中国”网站履行公示程序，并接受相关单位或个人提出异议。>>详细

虹膜识别技术在金融业的应用思考

在众多的解决方案中，生物特征识别技术以其不易遗失、识别度高、安全性强的特点脱颖而出，而虹膜识别技术更是生物识别技术的个中翘楚，使用虹膜识别技术进行身份认证能够非常有效地提高身份认证过程的安全性。>>详细

以微软用户为目标的恶意软件正伪装成以假乱真的浏览器更新

用户下载“更新”后，它会部署TrickBot特洛伊木马程序，该马程序专门查找浏览器中存储的密码，浏览历史记录和自动填充数据。>>详细

欧盟通过支付服务修订法案第二版 增加在线购买的双因素身份验证

在欧盟销售的公司多年来历经了许多的变化，涉及支付服务、跨市场法规和个别国家的要求。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019 年7 月15 日- 21 日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞417个，其中高危漏洞137个、中危漏洞252个、低危漏洞28个。漏洞平均分值为6.05。上周收录的漏洞中，涉及0day漏洞144个（占35%），其中互联网上出现“TP-Link Archer C1200缓冲区溢出漏洞、MyBB JN-Jones MyBB-2FA插件跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Google Android Framework权限提升漏洞（CNVD-2019-23120、CNVD-2019-23121）、Google Android System权限提升漏洞（CNVD-2019-23099、CNVD-2019-23100、CNVD-2019-23320、CNVD-2019-23321、CNVD-2019-23322、CNVD-2019-23323）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Acrobat是一款PDF编辑软件。上周，该产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader内存错误引用漏洞（CNVD-2019-22787、CNVD-2019-22788、CNVD-2019-22791、CNVD-2019-22789、CNVD-2019-22790、CNVD-2019-22792、CNVD-2019-22793、CNVD-2019-22794）上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，执行任意代码，发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2019-22627）、Mozilla Firefox安全绕过漏洞（CNVD-2019-22628）、Mozilla Firefox拒绝服务漏洞（CNVD-2019-22629）、Mozilla Firefox内存错误引用漏洞（CNVD-2019-22632）、Mozilla Firefox和Firefox ESR安全绕过漏洞（CNVD-2019-22851）、Mozilla Firefox和Firefox ESR内存破坏漏洞（CNVD-2019-22854）、Mozilla Firefox和Firefox ESR任意代码执行漏洞（CNVD-2019-22855）、Mozilla Firefox和Firefox ESR拒绝服务漏洞（ CNVD-2019-22852）。其中，“Mozilla Firefox和Firefox ESR内存破坏漏洞（CNVD-2019-22854）、Mozilla Firefox和Firefox ESR任意代码执行漏洞（CNVD-2019-22855）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

CloudBees产品安全漏洞

CloudBees Jenkins（HudsonLabs）是一套基于Java开发的持续集成工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行客户端代码等。

CNVD收录的相关漏洞包括：CloudBees JenkinsElectricFlow Plugin信息泄露漏洞、CloudBees JenkinsElectricFlow Plugin跨站请求伪造漏洞、CloudBees JenkinsElectricFlow Plugin授权问题漏洞、CloudBees Jenkins TokenMacro Plugin XML外部实体漏洞、CloudBees JenkinsElectricFlow Plugin跨站脚本漏洞、CloudBees Jenkins JXResources Plugin信任管理问题漏洞、CloudBees Jenkins JXResources Plugin跨站请求伪造漏洞、CloudBees Jenkins路径遍历漏洞（CNVD-2019-23290）。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DCS-1130和D-Link DCS-1100缓冲区溢出漏洞

D-Link DCS-1100和D-LinkDCS-1130都是中国台湾友讯（D-Link）公司的一款网络摄像机。D-Link DCS-1100和DCS-1130被披露存在缓冲区溢出漏洞。攻击者可通过攻击orthrus守护进程利用该漏洞完全控制设备，查看摄像头所拍摄的图像。

小结

上周，Google被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。此外，Adobe、Mozilla、CloudBees等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，执行任意代码，发起拒绝服务攻击等。D-Link DCS-1130和D-LinkDCS-1100被披露存在缓冲区溢出漏洞。攻击者可通过攻击orthrus守护进程利用该漏洞完全控制设备，查看摄像头所拍摄的图像。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、cnBeta、雨果网报道

责任编辑：韩希宇