国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞400个，互联网上出现“WordPress EmailSubscribers&Newsletters插件跨站脚本漏洞、Microsoft WindowsPowerShell命令执行漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

CNCERT发布《2019年上半年我国互联网网络安全态势》（附全文下载）

数据泄露事件及风险、有组织的分布式拒绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发，多个高危漏洞被曝出，我国网络空间仍面临诸多风险与挑战。>>详细

您与此网站之间建立的连接不安全……

网站应尽快升级更加安全的HTTPS协议，并采用全球信任的服务器证书，进而提高网站安全等级、可信度和企业形象，给网站及企业增加一把“数据安全守护锁”。>>详细

5G商用提速 网络安全市场规模将达千亿

随着大数据和人工智能时代的到来，网络安全行业已经成为一个巨大的风口。>>详细

银联设立闪付双免“盗刷举报”奖励基金 联合公安部门、产业各方严厉打击盗刷

闪付双免“举报奖励”基金的设置，将进一步加强闪付双免业务防盗刷能力，降低盗刷比率，守护持卡人的资金安全。>>详细

上海交通大学网络安全技术研究院院长李建华：人工智能与网络空间安全

人工智能可以被用于用户行为分析、网络流量分析和入侵检测、网络终端反恶意软件、Web 应用防火墙或数据库防火墙、以及商业流程反欺诈检测等。>>详细

AI带来的数据裸奔：中国数据安全市场2023年将达400亿元

新兴技术的发展往往是一把“双刃剑”，在AI驱动社会各领域发展的同时，作为AI技术的关键因素——数据也成为重点保护对象。>>详细

HTTPS 证书有效期被提议从 27 个月缩短到 13 个月

早在一年前，证书的最长有效期已经从 39 个月降至 27 个月。>>详细

华为发布分布式微内核系统鸿蒙，应用于TEE重塑可信安全

鸿蒙OS将微内核技术应用于可信执行环境（TEE），通过形式化方法，重塑可信安全。形式化方法是利用数学方法，从源头验证系统正确，无漏洞的有效手段。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年8月5日-11日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞400个，其中高危漏洞62个、中危漏洞196个、低危漏洞142个。漏洞平均分值为5.0。本周收录的漏洞中，涉及0day漏洞44个（占11%），其中互联网上出现“WordPress EmailSubscribers&Newsletters插件跨站脚本漏洞、Microsoft WindowsPowerShell命令执行漏洞”等零日代码攻击漏洞。

本周重要漏洞安全告警

Oracle产品安全漏洞

OracleMySQL是一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。本周，上述产品被披露存在访问控制错误漏洞，攻击者可利用漏洞造成拒绝服务（挂起或频繁崩溃）。

CNVD收录的相关漏洞包括：Oracle MySQL Server访问控制错误漏洞（CNVD-2019-26706、CNVD-2019-26712、CNVD-2019-26710、CNVD-2019-26711、CNVD-2019-26713、CNVD-2019-26714、CNVD-2019-26715、CNVD-2019-26744）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。本周，该产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader内存错误引用漏洞（CNVD-2019-26034、CNVD-2019-26035、CNVD-2019-26036、CNVD-2019-26037、CNVD-2019-26038、CNVD-2019-26039、CNVD-2019-26040、CNVD-2019-26041）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Intel产品安全漏洞

IntelCapability Licensing Service是一款Intel功能许可服务接口。Intel Graphics Driver for Windows是一款适用于Windows平台的显卡驱动程序。Intel Converged Securityand Management Engine是一款安全管理引擎。Intel TXE是一款使用在CPU（中央处理器）中具有硬件验证功能的信任执行引擎。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞逃离虚拟机，访问主机，提升权限，执行任意代码，造成拒绝服务。

CNVD收录的相关漏洞包括：Intel Capability LicensingService权限提升漏洞、Intel Graphics Driver forWindows User Mode Driver访问控制漏洞、Intel Graphics Driver forWindows Kernel Mode Driver内存破坏漏洞、Intel Graphics Driver forWindows Kernel Mode Driver任意代码执行漏洞（CNVD-2019-26185、CNVD-2019-26188）、Intel Converged Securityand Management Engine和Intel TXE缓冲区溢出漏洞、Intel Converged Security and Management Engine IntelAMT任意代码执行漏洞、Intel Active ManagementTechnology拒绝服务漏洞。其中，“Intel Graphics Driver forWindows Kernel Mode Driver内存破坏漏洞、Intel Graphics Driver forWindows Kernel Mode Driver任意代码执行漏洞（CNVD-2019-26185、CNVD-2019-26188）、Intel Converged Securityand Management Engine和Intel TXE缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是一款Web浏览器。本周，上述产品被披露存在信息泄露和安全绕过漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，执行未授权的访问权限。

CNVD收录的相关漏洞包括：Google Chrome信息泄露漏洞（CNVD-2019-26205）、Google Chrome安全绕过漏洞（CNVD-2019-26392、CNVD-2019-26403、CNVD-2019-26514、CNVD-2019-26517、CNVD-2019-26519、CNVD-2019-26520、CNVD-2019-26521）。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DVA-5592信息泄露漏洞

D-Link DVA-5592是一款无线路由器。本周，D-Link DVA-5592被披露存在信息泄露漏洞。攻击者可利用该漏洞访问敏感信息（Wi-Fi密码和电话号码）。

小结

本周，Oracle被披露存在访问控制错误漏洞，攻击者可利用漏洞造成拒绝服务（挂起或频繁崩溃）。此外，Adobe、Intel、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，执行未授权的访问权限，提升权限，执行任意代码，造成拒绝服务等。D-Link DVA-5592被披露存在信息泄露漏洞。攻击者可利用该漏洞访问敏感信息（Wi-Fi密码和电话号码）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家互联网应急中心、中国银联、第一财经、中国信息安全、移动支付网、开源中国、cnBeta报道

责任编辑：韩希宇