国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞203个，互联网上出现“WecodexRestaurant CMS 'Login' SQL注入漏洞、多款Tenda产品httpd缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

    一周行业要闻速览

    SSL3.0/TLS1.0/TLS1.1寿终正寝 主流浏览器拥抱TLS1.2/TLS1.3

    当前，利用SSL站点证书维护网站安全并进行安全通信，已成为各大操作系统、浏览器及应用厂商所力推的方式。在Google宣布从Chrome70版本开始强制对未部署证书网站做出不安全警告后，各大操作系统相继宣布支持“废止旧版SSL/TLS协议”的计划。>>详细

    第五届世界互联网大会召开 CFCA乌镇论道信息安全

    产品直击各行业信息安全痛点，从生物密码与电子认证的结合应用，到虚拟网络世界的身份认证，再到无纸化业务运营的合法合规与绿色高效、电子合同签署的安全合法签署保障，还有与每个人都关系密切的移动金融的便捷安全，大数据行业数据合规应用。>>详细

    CFCA张行：用PKI构建物联网安全体系

    物联网安全的核心需求主要包括四点：身份认证、安全连接、安全执行和安全存储。在“传统”的互联网领域，这些问题已被PKI安全体系完美解决，可以说，PKI构建了互联网世界的安全基础。>>详细

    【图解】《移动终端支付可信环境技术规范》（JR/T 0156-2017）

    今天给大家带来的是北京移动金融产业联盟推出的“联盟图解金融标准”系列第一篇，为大家解读金融行业标准《移动终端支付可信环境技术规范》（JR/T 0156-2017）。>>详细

    量子加密好消息：研究人员发现高效率产生光子方法

    史蒂文斯技术学院和哥伦比亚大学的研究人员开发了一套可扩展的精确方法，能在芯片上创建大量量子光源。这些光源可被用于量子计算机和量子加密系统。研究人员称，该方法结合了空间控制与可扩展性，能够高效率地按需发射光子。>>详细

    世界最大仿大脑超算问世：拥有百万个处理器核心

    科学家们日前激活了世界上最大的“大脑”:一台拥有100万个处理器核心和1200块互连电路板的超级计算机，其工作原理和人脑一样。科学家们宣布，这是世界上最大的神经形态计算机，也就是模拟神经元放电的计算机。>>详细

    谷歌更新reCAPTCHA机制 图形验证即将成为过去时

    鉴于CAPTCHA是抵御自动网络抓取、DDoS攻击、欺诈性购买等行为的重要工具，如何绕过它始终是地下组织热衷研究的主题之一。上周Flashpoint分析师也发现了，在某英语暗网网点上，针对CAPTCHA的话题讨论趋势有所上升。>>详细

    技术观澜

    如何使用Magisk解锁Bootloader以及RootGoogle Pixel 3？

    与Google Nexus系列一样，如果你想要root Google Pixel智能手机或为其安装自定义ROM，那么首先你必须解锁Bootloader。>>详细

    银行木马Trickbot新模块：密码抓取器分析

    Trickbot曾经是一个简单的银行木马，已经走过了漫长的道路。随着时间的推移，我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。>>详细

    无线AP容量及网络带宽计算方法

    在搭建无线网络的时候，肯定会遇到这样的问题：在考察环境之后怎样才能准确、科学、快速地预判出大概的无线AP需求量?带着这个问题，我们一起来探讨如何利用带宽估算无线AP的部署量。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周（2018年10月29日-2018年11月04日）信息安全漏洞威胁整体评价级别为中。

    国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞203个，其中高危漏洞90个、中危漏洞106个、低危漏洞7个。漏洞平均分值为6.39。上周收录的漏洞中，涉及0day漏洞37个（占18%），其中互联网上出现“WecodexRestaurant CMS 'Login' SQL注入漏洞、多款Tenda产品httpd缓冲区溢出漏洞”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    IBM产品安全漏洞

    IBM WebSphere Application Server（WAS）是一款应用服务器产品，它是Java EE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。IBM WebSphere Commerce是一套电子商务解决方案。IBM Daeja ViewONE Virtual是一款文档查看器，支持查看TIFF、PDF和基于Office的文档。IBM Kenexa LCMS Premier onCloud是一套可调节的用于开发、维护和提供高效的员工培训的学习内容管理系统(LCMS)。IBM Security Access Manager是一款应用于信息安全管理的产品。IBM FlashSystem 840 MTMs 9840-AE1等都是企业级存储解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行未授权的操作，执行任意代码，发起拒绝服务攻击。

    CNVD收录的相关漏洞包括：IBM WebSphere Commerce信息泄露漏洞（CNVD-2018-22087、CNVD-2018-22088）、IBM WebSphere Commerce开放重定向漏洞、IBM Daeja ViewONE Virtual XXE漏洞、IBM WebSphere Application Server Liberty OpenID Connect代码执行漏洞、IBM Kenexa LCMS Premier on Cloud SQL注入漏洞、IBM Security Access Manager未授权操作漏洞、多款IBM产品GUI权限提升漏洞。其中，除“IBM WebSphereCommerce信息泄露漏洞（CNVD-2018-22087、CNVD-2018-22088）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

    Apple产品安全漏洞

    Apple macOS Sierra是为Mac计算机所开发的一套专用操作系统。Apple iOS是为移动设备所开发的一套操作系统。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞以系统权限执行任意代码（内存破坏）。

    CNVD收录的相关漏洞包括：Apple macOSmDNSOffloadUserClient内存破坏漏洞、Apple iOS FaceTime内存破坏漏洞、Apple macOSSierra Kernel内存破坏漏洞（CNVD-2018-22359、CNVD-2018-22360、CNVD-2018-22361、CNVD-2018-22363、CNVD-2018-22366）、Apple macOS内存损坏漏洞（CNVD-2018-22365）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

    Google产品安全漏洞

    Google Chrome是一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，造成堆破坏。

    CNVD收录的相关漏洞包括：Google ChromeBlink内存错误引用漏洞（CNVD-2018-22389）、Google Chrome Blink信息泄露漏洞、Google Chrome安全绕过漏洞（CNVD-2018-22395、CNVD-2018-22396）、Google ChromeSkia堆缓冲区溢出漏洞（CNVD-2018-22399）、Google Chrome PDFium内存错误引用漏洞（CNVD-2018-22400、CNVD-2018-22401）、Google ChromeV8类型混淆漏洞（CNVD-2018-22402）。其中，除“Google ChromeBlink信息泄露漏洞、Google Chrome安全绕过漏洞（CNVD-2018-22395、CNVD-2018-22396）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

    Foxit产品安全漏洞

    CFoxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。上周，该产品被披露存在内存错误引用漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

    CNVD收录的相关漏洞包括：Foxit Reader for Windows内存错误引用漏洞（CNVD-2018-22397）、Foxit Reader和Foxit PhantomPDF forWindows内存错误引用漏洞（CNVD-2018-22404、CNVD-2018-22405、CNVD-2018-22406、CNVD-2018-22407、CNVD-2018-22408、CNVD-2018-22410、CNVD-2018-22409）。上述漏洞的综合评级为“高危”。

    GNU Binutils 'elf_link_input_bfd'函数拒绝服务漏洞

    GNU Binutils（又名GNU Binary Utilities或binutils）是GNU计划开发的一组编程语言工具程序，它主要用于处理多种格式的目标文件，并提供有连接器、汇编器和其他用于目标文件和档案的工具。Binary File Descriptor（BFD）library（又名libbfd）是其中的一个以各种格式便携式操作对象文件的库。上周，GNU Binutils被披露存在拒绝服务漏洞。远程攻击者可借助特制的ELF文件利用该漏洞造成拒绝服务（空指针逆向引用）。

    小结

    上周，IBM被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行未授权的操作，执行任意代码，发起拒绝服务攻击。此外，Apple、Google、Foxit等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，造成堆破坏，以系统权限执行任意代码（内存破坏）。另外，GNU Binutils被披露存在拒绝服务漏洞。远程攻击者可借助特制的ELF文件利用该漏洞造成拒绝服务（空指针逆向引用）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。