国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞401个，互联网上出现“ABUS Secvest FUAA50000消息传输错误条件漏洞、Vera Edge Home Controller命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

解密数字证书 支付安全有他守护

数字证书为何能解决安全交易防篡改、以及身份认证的问题呢？虽然可以简单的将个人数字证书比作一个人的“数字身份证”，但实际理论并不如此简单，毕竟不能“出示”数字证书就解决问题。>>详细

浅析5G新时代技术特点与安全风险

5G在一定时期内将沿用早期的通信网络和设备，加上5G引入的新的技术特性，势必会引发新的安全风险。>>详细

ZAO到底有没有威胁信息安全？业界期待中国版GDPR

这个APP及其用户信息“绑架条款”引起了对信息安全的恐慌。特别是作为支付工具的人脸识别一旦被破解，用户的金融信息安全堪忧。>>详细

中国互联网发展状况报告：境内约2.6万网站被植入后门（全文下载）

第44次《中国互联网络发展状况统计报告》内容涵盖了互联网基础建设状况、网民规模及结构状况、互联网应用发展状况、互联网政务应用发展状况与互联网安全状况等方面。>>详细

关于印发《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》的通知

为规范《网络安全标准实践指南》的制定和管理工作，根据《全国信息安全标准化技术委员会章程》等有关规定，全国信息安全标准化技术委员会秘书处制定了《全国信息安全标准化技术委员会标准<网络安全标准实践指南>管理办法（暂行）》。>>详细

浅议新型支付业务的洗钱风险及防范措施

新型支付多采用加密技术保护客人隐私，一些犯罪分子通过病毒、“黑客”攻击等方式窃取他人的账户信息，无法判断交易是否为合法用户本人所为。>>详细

谁泄露了我的数据？！AI时代金融信息安全攻防战危情

开放银行涉及了作为数据提供方的银行和第三方机构，任何一方在数据保护方面存在缺陷，即会导致数据泄露的风险剧增。不仅仅是银行面临这样的风险，在金融业态中数据保护意识淡薄的现象并不罕见。>>详细

美国大型连锁超市Hy-Vee 530万张支付卡信息泄露

受到影响的支付处理系统是在某些加油站、外带咖啡厅与餐厅，而位在超市内的杂货店或药局则采用不同的支付处理器系统，并有端对端的加密技术，因而未被波及。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019年8月26日-9月1日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞401个，其中高危漏洞79个、中危漏洞267个、低危漏洞55个。漏洞平均分值为5.44。上周收录的漏洞中，涉及0day漏洞34个（占8%），其中互联网上出现“ABUS Secvest FUAA50000消息传输错误条件漏洞、Vera Edge Home Controller命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

AdobeAcrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。上周，上述产品被披露存在越界读取和越界写入漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader越界读取漏洞、Adobe Acrobat/Reader越界写入漏洞（CNVD-2019-29553、CNVD-2019-29554、CNVD-2019-29555、CNVD-2019-29559、CNVD-2019-29557、CNVD-2019-29560、CNVD-2019-29561）。其中，除“Adobe Acrobat/Reader越界读取漏洞、Adobe Acrobat/Reader越界写入漏洞（CNVD-2019-29553）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。Oracle E-Business Suite（电子商务套件）是一套全面集成式的全球业务管理软件。上周，该产品被披露存在访问控制错误漏洞，攻击者可利用漏洞攻击者可利用该漏洞未授权读取、更新、插入或删除数据，影响数据的保密性和完整性。

CNVD收录的相关漏洞包括：Oracle BI Publisher访问控制错误漏洞（CNVD-2019-29186、CNVD-2019-29191、CNVD-2019-29192）、Oracle BI Publisher组件访问控制错误漏洞（CNVD-2019-29188）、Oracle Marketing组件访问控制错误漏洞（CNVD-2019-29193、CNVD-2019-29194、CNVD-2019-29195、CNVD-2019-29196）。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成拒绝服务，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：Linux kernel拒绝服务漏洞（CNVD-2019-29107）、Linux kernel代码问题漏洞、Linux kernel缓冲区溢出漏洞（CNVD-2019-29563、CNVD-2019-29637、CNVD-2019-29638、CNVD-2019-29641、CNVD-2019-29639、CNVD-2019-29640）。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Informix Dynamic Server（IDS）是一款可扩展的对象关系数据库服务器，它为集群数据中心提供持续数据可用性和灾难恢复等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取管理员权限。

CNVD收录的相关漏洞包括：IBM Informix DynamicServer缓冲区溢出漏洞（CNVD-2019-29421、CNVD-2019-29422）、IBM Informix DynamicServer权限许可和访问控制问题漏洞（CNVD-2019-29420、CNVD-2019-29423、CNVD-2019-29424、CNVD-2019-29425、CNVD-2019-29427、CNVD-2019-29426）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Lenovo Solution Center提权漏洞

Lenovo Solution Center（LSC）是一套用于帮助用户快速识别系统健康状态、网络连接和整个系统安全状态的软件。上周，Lenovo Solution Center被披露存在提权漏洞，攻击者可利用该漏洞提升权限。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

小结

上周，Adobe被披露存在越界读取和越界写入漏洞，攻击者可利用漏洞执行任意代码。此外，Oracle、Linux、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取管理员权限，造成拒绝服务，导致缓冲区溢出或堆溢出等。另外，Lenovo Solution Center被披露存在提权漏洞，攻击者可利用该漏洞提升权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、21世纪经济报道、中国信息安全、信安标委、中国反洗钱实务、ithome报道

责任编辑：韩希宇