国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞230个，互联网上出现“Max Secure Anti Virus Plus权限提升漏洞、NAPC Xinet Elegant 6 Asset Library Web Interface SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

刷脸“被破解”之后：资金、账户等安全风险不容忽视

近日，美国一家名为Kneron的人工智能公司宣称使用3D面具突破了支付宝、微信的人脸识别系统，还骗过了国内某火车站的闸机，成功刷脸进站。一时舆论哗然，对此微信支付表示如果出现人脸盗刷，将进行赔付。>>详细

CFCA服务金融标准化 107家企业成为“领跑者”

在中国人民银行、国家市场监督管理总局、中国标准化研究院的指导下，CFCA作为金融领域企业标准“领跑者”评估机构，配合中国支付清算协会开展评估工作，完成企业标准评估方案编制。>>详细

国家互联网信息办公室发布《网络信息内容生态治理规定》

网络信息内容服务平台应当建立网络信息内容生态治理机制，制定本平台网络信息内容生态治理细则。>>详细

CFCA携两项签字鉴定世界纪录亮相ICDAR 2019

继在“离线签字鉴定”领域大幅刷新世界纪录后，中国金融认证中心（CFCA）机器学习实验室于“在线签字鉴定”领域再创佳绩。>>详细

密码体制如何应对“量子霸权”？

量子计算是目前全世界范围内的前沿研究热点，并可能正以量子体积每年翻倍的“量子摩尔定律”向前发展。>>详细

白话说CC—揭秘穿透性测试

针对安全芯片的穿透性测试覆盖了非侵入式攻击、半侵入式攻击及侵入式攻击等多种攻击方式，测试项目众多，芯片设计厂商需要综合考虑各种情况，为芯片设计出针对各种攻击方式的防护对策。>>详细

Android端Twitter应用曝出安全漏洞：信息恐已泄漏 推荐尽快更改密码

推特（Twitter）面向所有Android端推特用户发送了一封电子邮件，在确认公司已经修复Android端APP存在的严重漏洞之外，有黑客可能通过该漏洞获取了部分用户账户信息。>>详细

万事达卡收购安全评估初创公司RiskRecon

对于像万事达这样的金融服务公司来说，为客户提供网络安全相关服务变得越来越重要，RiskRecon则就会给客户一个公司风险状况的客观评分。>>详细

全新 Mozi P2P 僵尸网络入侵 Netgear、D-Link、Huawei 路由器

由于被一个名为Mozi的P2P僵尸网络入侵，Netgear、D-Link和Huawei路由器正积极检测Telnet弱密码。因该僵尸网络再次使用了部分代码，可判定该事件与 Gafgyt恶意软件相关。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019年12月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞230个，其中高危漏洞77个、中危漏洞122个、低危漏洞31个。漏洞平均分值为5.86。上周收录的漏洞中，涉及0day漏洞51个（占22%），其中互联网上出现“Max Secure Anti Virus Plus权限提升漏洞、NAPC Xinet Elegant 6 Asset Library Web Interface SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Internet Explorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows 7 SP1是一款操作系统。Microsoft Windows XP是一套PC和平板电脑使用的操作系统。Remote Desktop Protocol是一个远程桌面协议。Microsoft SharePoint是一套企业业务协作平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft InternetExplorer远程代码执行漏洞（CNVD-2019-45913）、Microsoft Windows和Microsoft Windows Server提权漏洞（CNVD-2019-45911）、Microsoft Windows和Microsoft Windows Server OLE远程代码执行漏洞、Microsoft Windows Remote Desktop Protocol信息泄露漏洞、Microsoft Windows Media Player信息泄露漏洞（CNVD-2019-45916）、Microsoft Windows GraphicsDevice Interface信息泄露漏洞（CNVD-2019-45917）、Microsoft Windows Media Player信息泄露漏洞（CNVD-2019-45918）、Microsoft SharePointServer信息泄露漏洞（CNVD-2019-46110）。其中，“Microsoft Internet Explorer远程代码执行漏洞（CNVD-2019-45913）、Microsoft Windows和Microsoft Windows Server提权漏洞（CNVD-2019-45911）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SPPA-T3000是一种分布式控制系统，主要应用于火力发电厂和大型可再生能源发电厂。MS3000 Migration Server是其中的一个迁移服务器。上周，上述产品被披露存在堆缓冲区溢出漏洞，攻击者可利用漏洞获得root权限，导致拒绝服务并执行任意代码。

CNVD收录的相关漏洞包括：Siemens SPPA-T3000 MS3000Migration Server堆缓冲区溢出漏洞（CNVD-2019-45378、CNVD-2019-45409、CNVD-2019-45410、CNVD-2019-45411、CNVD-2019-45417、CNVD-2019-45418、CNVD-2019-45419、CNVD-2019-45421）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

AdobeAcrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Photoshop是一套图片处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop CC内存破坏漏洞（CNVD-2019-45962、CNVD-2019-45969）、Adobe Acrobat和Reader缓冲区溢出漏洞（CNVD-2019-45967）、Adobe Acrobat和Reader内存错误引用漏洞（CNVD-2019-45970、CNVD-2019-45971、CNVD-2019-45973、CNVD-2019-45974、CNVD-2019-45975）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务，释放后重用。

CNVD收录的相关漏洞包括：Linux kernel内存错误引用漏洞（CNVD-2019-45875、CNVD-2019-45876、CNVD-2019-45877、CNVD-2019-45878、CNVD-2019-45879、CNVD-2019-45906、CNVD-2019-45907）、Linux kernel缓冲区溢出漏洞（CNVD-2019-45882）。其中，“Linux kernel缓冲区溢出漏洞（CNVD-2019-45882）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Red Hat FreeIPA缓冲区溢出漏洞

Red Hat FreeIPA是一套集成的安全信息管理解决方案。上周，Red Hat FreeIPA被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。此外，Siemens、Adobe、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞获得root权限，导致拒绝服务并执行任意代码等。另外，RedHat FreeIPA被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、21世纪经济报道、FreeBuf.COM、cnBeta.COM、HackerNews.cc、网安前哨报道

责任编辑：韩希宇