国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞498个，互联网上出现“Aptana Jaxer wikilite源码浏览器本地文件包含漏洞、Joomla!组件com_jssupportticket SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

你的APP引入的第三方SDK可能是个“暗桩”

一些SDK虽然没有在官方文档中申明所用某类权限或者收集某类数据，但是在实际的分析中它被发现会根据其嵌入的APP的具体权限，选择性地收集用户的个人信息。>>详细

网络安全威胁上升 软件和IT安全服务业发展空间大

工信部网络安全管理局副局长杨宇燕表示，为了做好网络安全工作，工信部正在从四方面体系化推进网络安全建设。>>详细

CFCA赵宇：守正创新，金融科技必将促进金融业健康发展

ABCD（人工智能、区块链、云计算、大数据）不是天降神器，更不是救命稻草，银行从业者应该理性看待并合理运用金融科技，结合业务场景发挥金融科技的优势，提升效率，防控风险。>>详细

《软件开发包（SDK）安全与合规白皮书》正式发布

白皮书体现了中国信通院安全研究所和环球律所在第三方SDK安全与合规问题方面的最新研究成果，为移动互联网网络与数据安全、个人信息保护管理要求及规则的制定提供一些有益参考。>>详细

农业银行王怡：浅谈数字化转型下商业银行的网络安全挑战与应对

一直以来新技术的引入和应用都是一把双刃剑，在带给人们工作高效和生活便利的同时，网络安全风险也始终如影随形，并随着信息化发展阶段的不同而衍化。>>详细

中国在量子技术取得重大突破 可能生产世界上第一个量子技术芯片

中国科学家的做法是把量子运动轨迹描述下来，并且固定在硬盘之中，从而使量子技术运算从理论变为现实。>>详细

警方点名！嘉联支付旗下立刷App违规！

据曝光情况显示，立刷App存在读取用户通讯录；允许发送短信、彩信；允许录制音频等超范围收集用户信息的情况，且没有隐私政策。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年8月12日-18日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞498个，其中高危漏洞167个、中危漏洞263个、低危漏洞68个。漏洞平均分值为5.82。本周收录的漏洞中，涉及0day漏洞149个（占37%），其中互联网上出现“Aptana Jaxer wikilite源码浏览器本地文件包含漏洞、Joomla!组件com_jssupportticket SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞执行代码。

CNVD收录的相关漏洞包括：Google Android缓冲区溢出漏洞（CNVD-2019-27574、CNVD-2019-27575、CNVD-2019-27576、CNVD-2019-27577、CNVD-2019-27579、CNVD-2019-27580、CNVD-2019-27578、CNVD-2019-27581）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Edge是Microsoft公司为Windows 10打造的浏览器，特点是快速、安全。ChakraCore是一个Microsoft开源的、用于Windows IE/Edge内核的高效JS脚本引擎。上周，该产品被披露存在内存破坏和远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Edge Chakra脚本引擎内存破坏漏洞（CNVD-2019-27084、CNVD-2019-27085、CNVD-2019-27086、CNVD-2019-27087）、Microsoft Windows远程桌面服务远程代码执行漏洞（CNVD-2019-27323、CNVD-2019-27324、CNVD-2019-27325、CNVD-2019-27325）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

AdobePhotoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。Photoshop CC是Photoshop Creative Cloud版。上周，上述产品被披露存在越界写入漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop CC越界写入漏洞（CNVD-2019-27490、CNVD-2019-27488、CNVD-2019-27489、CNVD-2019-27491、CNVD-2019-27492、CNVD-2019-27493、CNVD-2019-27494、CNVD-2019-27495）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。Oracle Virtualization是一套虚拟化解决方案。上周，上述产品被披露存在信息泄露和访问控制错误漏洞，攻击者可利用漏洞影响数据的保密性、完整性和可用性。

CNVD收录的相关漏洞包括：Oracle WebLogic Server组件信息泄露漏洞（CNVD-2019-27105、CNVD-2019-27106、CNVD-2019-27107、CNVD-2019-27108）、Oracle VM VirtualBox访问控制错误漏洞（CNVD-2019-27293、CNVD-2019-27294、CNVD-2019-27296、CNVD-2019-27297）。目前，厂商已经发布了上述漏洞的修补程序。

Edimax Wi-Fi Extender跨站请求伪造漏洞

Edimax Technology Wi-Fi Extender是一款无线信号扩展器。上周，Edimax Technology Wi-Fi Extender被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

小结

上周，Google被披露存在缓冲区溢出漏洞，攻击者可利用漏洞执行代码。此外，Microsoft、Adobe、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的保密性、完整性和可用性。Edimax Wi-Fi Extender被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中证网、证券时报网、中国信通院、中国金融电脑、移动支付网、solidot报道

责任编辑：韩希宇