信息安全周报|推动生物识别在金融领域安全规范应用 个人信息保护法已列入立法规划

　　国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞379个，互联网上出现“WordPress插件AdvancedCustom Fields Pro SQL注入漏洞、Nokia 8810 4G设备KaiOSGecko组件拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　中国人民银行科技司司长李伟：推动生物识别技术在金融领域安全规范应用

　　近年来，得益于云计算、大数据、物联网、深度学习等信息技术的快速发展，生物识别技术在基础理论、算法模型、创新应用、软硬件支撑等方面不断取得突破。与此同时，生物识别技术在金融领域的应用蓬勃兴起，成为社会普遍关注的热门话题。金融机构必须处理好安全与创新的关系，努力推动生物识别技术在金融领域安全规范应用。>>详细

　　315特辑｜如何还原业务场景 保障线上签约的司法可追溯？

　　当面对面的线下业务场景转至线上，如何保证业务办理过程的安全性，降低电子缔约可能出现的司法风险？电子数据因易破坏、易篡改、易伪造等特点，不能作为证据直接使用，如何将电子数据有效地转化为电子证据，并将分散的电子数据进行司法证据关联？>>详细

　　聚焦两会 | 大会发言人答记者问：积极推进数据安全和个人信息保护立法

　　随着网络信息技术和数字经济的快速发展，因个人信息不当收集、滥用、泄露，导致公民权益受到侵害的事件时有发生。通过立法加强个人信息保护已成为保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。>>详细

　　360周鸿祎两会提案：共建国家级网络安全大脑 关注人工智能安全

　　面对这些威胁和挑战，当务之急是能够及时发现网络攻击，唯一的方法要靠安全大数据的联合。虽然现在建立了很多网络安全防御系统，然而数据没有打通、各自为战等现象普遍存在，无论是企业、网络安全公司、运营商还是政府部门，都各自掌握一部分数据，都只能看到局部情况。>>详细

　　全国政协委员沈南鹏：建立大湾区金融数据安全流动试点

　　他建议尽快成立联合专责小组，互相协同以打通粤港澳金融数据安全管理政策壁垒；选取重点金融科技机构，优先选取业务体量大、风控能力强的部分重点机构作为先期试点的实施主体；在CEPA框架下开展数据共享作为试验具体载体。>>详细

　　重视移动网络安全 防范信息泄露风险

　　WiFi的出现极大提高了我们的生活水平，在室外刷剧、打游戏、和朋友视频聊天……都离不开它的帮助，但是，WiFi因为没有边界问题，安全问题一直无法避免。>>详细

　　违规收集儿童隐私 “抖音国际版”TikTok在美受重罚

　　2019年2月27日，美国联邦贸易委员会（FTC）发布一条针对抖音海外版TikTok的处罚，由于其违反了儿童在线隐私保护法案（COPPA），在未经过父母同意的情况下，违规收集13岁以下用户的姓名、电子邮件以及其他个人信息。>>详细

　　谷歌信息安全业务Chronicle发布首款商用产品

　　利用谷歌庞大的基础设施和数据分析能力，Backstory为信息安全分析师提供了从大量警报中解析出潜在威胁的能力，帮助他们更快地找到真正的漏洞。>>详细

　　英特尔Spectre漏洞仅靠软件无法解决

　　在Web浏览器线程中执行的恶意代码可能会对运行在同进程中另一个线程内的JavaScript进行重新编码，并从该页面窃取机密数据。>>详细

　　技术观澜

　　PDF签名攻击的技术分析

　　德国研究机构Ruhr University Bochum发布安全报告，提出了三种针对PDF签名的攻击方法，中国金融认证中心（CFCA）的PDF技术人员关注到该信息后，及时地进行了技术分析，并给出了一些应用建议。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2019年02月25日-2019年03月03日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞379个，其中高危漏洞152个、中危漏洞190个、低危漏洞37个。漏洞平均分值为5.98。上周收录的漏洞中，涉及0day漏洞227个（占60%），其中互联网上出现“WordPress插件AdvancedCustom Fields Pro SQL注入漏洞、Nokia 8810 4G设备KaiOSGecko组件拒绝服务漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Adobe产品安全漏洞

　　Adobe Acrobat是一套PDF文件编辑和转换工具，Adobe Reader是一套PDF文档阅读软件。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞执行任意代码（越界写入）。

　　CNVD收录的相关漏洞包括：Adobe Acrobat和Reader缓冲区溢出漏洞（CNVD-2019-05308、CNVD-2019-05316、CNVD-2019-05317、CNVD-2019-05318、CNVD-2019-05319、CNVD-2019-05321、CNVD-2019-05320、CNVD-2019-05322）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Mozilla产品安全漏洞

　　Mozilla Firefox是一款开源Web浏览器。Firefox ESR是Firefox的一个延长支持版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过沙盒，获取敏感信息，执行任意代码或造成拒绝服务等。

　　CNVD收录的相关漏洞包括：Mozilla Firefox和Firefox ESR内存破坏漏洞（CNVD-2019-05563）、Mozilla Firefox权限提升漏洞（CNVD-2019-05566）、Mozilla Firefox内存破坏漏洞（CNVD-2019-05564、CNVD-2019-05567、CNVD-2019-05568）、Mozilla Firefox内存错误引用漏洞（CNVD-2019-05569）、Mozilla Firefox信息泄露漏洞（CNVD-2019-05570）、Mozilla Firefox和Firefox ESR整数溢出漏洞（CNVD-2019-05571）。其中，除“Mozilla Firefox内存破坏漏洞（CNVD-2019-05568）、Mozilla Firefox信息泄露漏洞（CNVD-2019-05570）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　IBM产品安全漏洞

　　IBM Security Identity Governance and Intelligence（IGI）是一套身份治理解决方案。IBM Security IdentityManager是一套身份管理和治理解决方案。IBM Tivoli Storage ManagerOperations Center是一套下一代简化备份管理解决方案。上周，上述产品被披露存在信息泄露漏洞，攻击者可利用漏洞在Web UI中注入任意的JavaScript代码，获取敏感信息等。

　　CNVD收录的相关漏洞包括：IBM Security IdentityGovernance and Intelligence信息泄露漏洞（CNVD-2019-05281、CNVD-2019-05282、CNVD-2019-05515、CNVD-2019-05557）、IBM Security IdentityGovernance Virtual Appliance跨站脚本漏洞、IBM Security IdentityManager代码注入漏洞、IBM Tivoli Storage ManagerOperations Center跨站脚本漏洞（CNVD-2019-05656、CNVD-2019-05661）。目前，厂商已经发布了上述漏洞的修补程序。

　　rdesktop产品安全漏洞

　　rdesktop是一个用于连接到Windows远程桌面服务的开源UNIX客户端。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：rdesktop堆缓冲区溢出漏洞、rdesktop process_plane()函数堆缓冲区溢出漏洞、rdesktop整数溢出漏洞（CNVD-2019-05894、CNVD-2019-05895）、rdesktop process_secondary_order()函数越界读取漏洞、rdesktop rdpsnd_process_ping()函数越界读取漏洞、rdesktop堆缓冲区溢出漏洞（CNVD-2019-05896）、rdesktop越界读取漏洞。其中，除“rdesktopprocess_secondary_order()函数越界读取漏洞、rdesktoprdpsnd_process_ping()函数越界读取漏洞、rdesktop越界读取漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商尚未发布上述漏洞的修补程序。

　　Intel Data Center Manager SDK文件权限提升漏洞

　　Intel Data Center Manager SDK是一款数据中心管理器SDK（软件开发工具包）。上周，Intel Data Center ManagerSDK被披露存在权限提升漏洞。攻击者利用该漏洞实现权限提升。

　　小结

　　上周，Adobe被披露存在缓冲区溢出漏洞，攻击者可利用漏洞执行任意代码（越界写入）。此外，Mozilla、IBM、rdesktop等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过沙盒，获取敏感信息，执行任意代码，发起拒绝服务攻击等。另外，Intel Data Center Manager SDK被披露存在权限提升漏洞。攻击者利用该漏洞实现权限提升。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、一财网、中国信息安全、中国科技网、新浪科技、FreebuF.COM、安全牛、南京银行微信公众号报道

责任编辑：韩希宇