技术创新与监管完善驱动移动支付安全发展

　　国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞482个，互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　FireEye在GitHub上开源密码破解工具GoCrack

　　考虑到密码的敏感性，GoCrack 使用了授权系统，可防止用户访问任务数据，而一些敏感操作，如修改任务，查看破解密码，下载任务文件等都可以被记录下来，并供管理员审核。>>详细

　　央行支付司司长谢众：“无卡”支付时代的几点监管意见

　　无论形式如何纷繁复杂，无卡支付始终不会脱离交易发起、传输、清算、结算等核心环节，银行卡作为账户载体的本质和其背后成熟的产业基础优势依然存在。>>详细

　　清华教授谢平：金融大数据基础完备 人工智能应用于金融监管远景宏大

　　预警可能是人工智能在金融监管领域当中突破的第一个环节，当人工智能发现我们的金融机构出现风险征兆的时候，会主动预警、提醒。>>详细

　　技术观澜

　　软件安全构建成熟度模型演变与分析

　　软件安全开发主要是从生命周期的角度，对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结，通过采取各种安全活动来保证尽可能得到安全的软件。>>详细

　　GP TEE中的几种存储方式介绍

　　我们知道TEEOS最重要的功能莫过于安全存储了，这是一切安全的前提，根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS安全存储。>>详细

　　针对近期某款POS机攻击案例分析及建议

　　相对IC卡来说，磁条卡本身防护程度较低，磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡，因为IC卡较磁条卡更难被复制，即使芯片卡中的数据泄露，也很难直接用于制造伪卡。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年10月23日-2017年10月29日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞482个，其中高危漏洞127个、中危漏洞326个、低危漏洞29个。漏洞平均分值为5.82。上周收录的漏洞中，涉及0day漏洞103个（占21%），其中互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数853个，与前周（635个）环比增长34%。

　　上周重要漏洞安全告警

　　Google产品安全漏洞

　　Android是美国谷歌公司开发的一套以Linux为基础的开源操作系统。Mediaframework(libhevc)是其中的一个用于多媒体开发的hevc解码库。上周，该产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Google AndroidMedia Framework远程代码执行漏洞（CNVD-2017-31360、CNVD-2017-31361、CNVD-2017-31362、CNVD-2017-31363、CNVD-2017-31364、CNVD-2017-31365、CNVD-2017-31366、CNVD-2017-31367）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Oracle产品安全漏洞

　　Oracle E-Business Suite是美国甲骨文公司的一套全面集成式的全球业务管理软件。OracleKnowledge Management是其中的一个知识管理组件。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。OracleWebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的保密性、完整性和可用性。

　　CNVD收录的相关漏洞包括：OracleKnowledge Management组件存在未明漏洞、Oracle KnowledgeManagement组件存在未明漏洞（CNVD-2017-31058、CNVD-2017-31059）、OracleWebLogic Server存在未明漏洞（CNVD-2017-31499、CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503）。除“OracleWebLogic Server存在未明漏洞（CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　D-Link产品安全漏洞

　　D-Link DIR-850L REV.A和REV.B都是友讯（D-Link）公司的无线路由器产品。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息、获取权限或执行任意代码。

　　CNVD收录的相关漏洞包括：D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.A跨站脚本漏洞、D-LinkDIR-850L REV.A跨站脚本漏洞（CNVD-2017-31794、CNVD-2017-31795、CNVD-2017-31796）、D-LinkDIR-850L REV.B密码泄露漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞（CNVD-2017-31792）。其中，“D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞（CNVD-2017-31792）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　WordPress产品安全漏洞

　　WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周，改产品被披露存在SQL注入漏洞，攻击者可利用漏洞执行任意SQL命令。

　　CNVD收录的相关漏洞包括：WordPresseventr 'event'参数SQL注入漏洞、WordPress eventr SQL注入漏洞、WordPress SQL注入漏洞（CNVD-2017-31384）、WordPressSupport Ticket System SQL注入漏洞、WordPress surveys 'action'变量SQL注入漏洞、WordPresssurveys SQL注入漏洞、WordPress surveys 'survey_id'变量SQL注入漏洞、WordPressWatuPRO SQL注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Arris NVG599 AT&T U-verse ROOT获取漏洞

　　Arris NVG599是美国Arris集团公司的一款路由器产品。上周，Arris被披露存在权限提升漏洞，远程攻击者可通过在49955端口上建立会话，并安装新软件利用该漏洞获取root权限。目前，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

　　小结

　　上周，Google被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。此外，Oracle、D-Link、Wordpress等多款产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感信息、提升权限或执行任意代码等。另外，Arris被披露存在权限提升漏洞，远程攻击者可通过在49955端口上建立会话，并安装新软件利用该漏洞获取root权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、FreeBuf.COM、中国信用卡、雷锋网、安智客、金融科技大讲堂报道　　

责任编辑：韩希宇