国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞203个，互联网上出现“libIEC61850 'BerDecoder_decodeUint32'函数缓冲区溢出漏洞、RIOT RIOT-OS拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

网信办、工信部、公安部、市场监管总局制定《App违法违规收集使用个人信息行为认定方法》

根据《关于开展App违法违规收集使用个人信息专项治理的公告》，为监督管理部门认定App违法违规收集使用个人信息行为提供参考，为App运营者自查自纠和网民社会监督提供指引。>>详细

《移动应用（App）数据安全与个人信息保护白皮书（2019年）》正式发布

白皮书内容涵盖App最新发展趋势及社会经济影响、当前App存在的主要数据安全隐患、国内外App数据安全管理实践、App数据安全综合治理建议和用户热切关注的安全防范技巧等多个方面。>>详细

盘点！2019年度个人信息保护十大事件

如果说2017年是个人信息保护的“开局之年”，那么即将结束的2019年可以说是个人信息保护的“攻坚之年”。>>详细

刷脸支付的法律问题

业界人士认为，刷脸支付采用“人脸识别+支付口令”是兼顾安全与便捷的实现方式，在支付体系中，人脸识别显然是主要的验证手段。>>详细

北京网警：关于OPENSSL加密组件存在重大风险隐患的预警通报

据国家网络与信息安全信息通报中心监测发现，互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患，可能导致信息泄露等风险。>>详细

重庆高院发布金融商事审判白皮书 电子数据第三方认证问题被点名

我国产生电子数据这种证据类型的立法可以追溯至2005年颁布的《电子签名法》，该法第一次提出了“数据电文”的概念，并将其界定为“以电子、光学、磁或者类似手段生成、发送、接收或存储的信息”。>>详细

国家密码管理局 市场监管总局 关于调整商用密码产品管理方式的公告

为贯彻落实“放管服”改革要求，充分激发商用密码市场活力，根据《中华人民共和国密码法》的规定，取消“商用密码产品品种和型号审批”。>>详细

立法回顾：美国的网络隐私数据保护

人们没有权利访问自己的数据，修改自己的数据，轻松地将自己的数据从一家公司转移到另一家公司，或以一己之力起诉一家公司侵犯了自己的网络隐私。>>详细

安全威胁播报

上周漏洞基本情况

上周（2019年12月23日-29日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞203个，其中高危漏洞67个、中危漏洞118个、低危漏洞18个。漏洞平均分值为5.83。上周收录的漏洞中，涉及0day漏洞93个（占46%），其中互联网上出现“libIEC61850 'BerDecoder_decodeUint32'函数缓冲区溢出漏洞、RIOT RIOT-OS拒绝服务漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Linux产品安全漏洞

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Marvell WiFi chip driver是其中的的一个WiFi芯片驱动程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致缓冲区溢出，造成内核异常。

CNVD收录的相关漏洞包括：Linux kernel内存错误引用漏洞（CNVD-2019-46994、CNVD-2019-47002）、Linux kernel缓冲区溢出漏洞（CNVD-2019-46998、CNVD-2019-47005）、Linux kernel输入验证错误漏洞（CNVD-2019-47001）、Linux Kernel堆缓冲区溢出漏洞（CNVD-2019-47003）、Linux kernel Marvell WiFi chip driver缓冲区溢出漏洞、Linux Kernel 'marvell/mwifiex/scan.c'文件缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

GoogleChrome是美国谷歌（Google）公司的一款Web浏览器。Android是美国谷歌（Google）和开放手持设备联盟（简称OHA）的一套以Linux为基础的开源操作系统。Video driver是其中的一个视频驱动程序。MNH driver是其中的一个MNH驱动程序。Broadcom Bluetooth是其中的一个蓝牙组件。Kernel是其中的一个系统内核组件。Touch driver是其中的一个触控驱动程序。Framework是其中的一个Android框架组件。LG Bootloader是其中的一个启动加载程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务。

CNVD收录的相关漏洞包括：Google Chrome资源管理错误漏洞（CNVD-2019-46750）、Google Android Video驱动程序提权漏洞、Google Android MNH驱动程序权限提升漏洞、Google Android BroadcomBluetooth权限提升漏洞、Google Android Kernel权限提升漏洞（CNVD-2019-47018）、Google Android Touch驱动程序权限提升漏洞、Google Android缓冲区溢出漏洞（CNVD-2019-47020）、Google Android操作系统命令注入漏洞。其中，“Google Chrome资源管理错误漏洞（CNVD-2019-46750）、Google Android Kernel权限提升漏洞（CNVD-2019-47018）、Google Android缓冲区溢出漏洞（CNVD-2019-47020）、Google Android操作系统命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

AppleSafari等都是美国苹果（Apple）公司的产品。Apple Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。Apple iOS是一套为移动设备所开发的操作系统。Apple watchOS是一套智能手表操作系统。WebKit是其中的一个Web浏览器引擎组件。Apple iCloud for Windows是一款基于Windows平台的云服务。CoreCrypto是其中的一个核心加密组件。Apple macOS Catalina是一套专为Mac计算机所开发的专用操作系统。libxslt是其中的一个XSLT（可扩展样式表转换语言）库。CFNetwork是其中的一个低层次、高性能的框架，是BSD sockets（套接字）的扩展。Apple tvOS是一套智能电视操作系统。Kernel是其中的一个内核组件。Apple iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。WebKit是其中的一个Web浏览器引擎组件。Apple iPadOS是一套用于iPad平板电脑的操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：多款Apple产品WebKit组件内存破坏漏洞（CNVD-2019-46956、CNVD-2019-46969）、多款Apple产品WebKit组件代码执行漏洞（CNVD-2019-46964）、多款Apple产品libxslt组件内存破坏漏洞、多款Apple产品Kernel组件内存破坏漏洞（CNVD-2019-46965）、多款Apple产品CFNetwork组件跨站脚本漏洞、多款Apple产品CoreCrypto组件拒绝服务漏洞、多款Apple产品Kernel组件代码执行漏洞（CNVD-2019-46966）。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Spectrum Scale是美国IBM公司的一套基于IBM GPFS（专为PB级存储管理而优化的企业文件管理系统）的可扩展的数据及文件管理解决方案。IBM Financial TransactionManager for SWIFT Services是美国IBM公司的一款金融事务管理器产品。IBM Cognos Analytics是美国IBM公司的一套商业智能软件。IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取cookie值，执行任意命令等。

CNVD收录的相关漏洞包括：IBM Spectrum Scale输入验证错误漏洞、IBM Financial Transaction Manager for SWIFT Services点击劫持漏洞、IBM Financial Transaction Manager for SWIFT Services跨站脚本漏洞、IBM Financial Transaction Manager for SWIFT Services信息泄露漏洞、IBM Financial Transaction Manager for SWIFT Services跨站请求伪造漏洞、IBM Cognos Analytics跨站脚本漏洞（CNVD-2019-46620）、IBM Cognos Analytics跨站请求伪造漏洞、IBM Planning Analytics代码执行漏洞。其中，“IBM Spectrum Scale输入验证错误漏洞、IBM Planning Analytics代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux kernel内存错误引用漏洞（CNVD-2019-46996）

Linux kernel是一种计算机操作系统内核。上周，Linux kernel被披露存在内存错误引用漏洞。攻击者可利用该漏洞导致发生释放后重用。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Linux产品被披露存在多个漏洞，攻击者可利用漏洞导致缓冲区溢出，造成内核异常。此外，Google、Apple、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取cookie值，提升权限，执行任意代码，导致拒绝服务等。另外，Linux kernel被披露存在内存错误引用漏洞。攻击者可利用该漏洞导致发生释放后重用。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、中国信通院、金卡生活、首都网警、国家密码管理局、FreeBuf.COM报道

责任编辑：韩希宇