国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞443个，互联网上出现“Invoxia NVX220信任管理问题漏洞、Private Internet Access (PIA) VPN客户端任意代码执行漏洞（CNVD-2019-24214）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

你可能不知道SDK是啥，但你手机里的秘密它可知道……

由第三方SDK引入的安全问题也是显而易见的。比如开发者的安全能力水平参差不齐，可能导致SDK的安全漏洞；还有开发者会故意预留“后门”，以便收集用户信息或执行越权操作。>>详细

中国银行郭为民：真正的安全 不能有短板

在过去一年，中国银行通过与腾讯的合作，结合大数据、人工智能、云计算、云网端安全防护体系，累计监测超过30亿笔交易，其中阻断了超过100亿的交易金额。>>详细

CSS 2019：腾讯安全发布2019产业互联网安全十大议题

作为CSS 2019会议的延续，腾讯安全发布的《十大议题》首次聚焦产业互联网安全，从产业政策、技术应用、业务场景等方面，对产业互联网时代的安全变化和技术趋势进行了盘点和解读。>>详细

美第一资本金融公司1亿用户个人信息被盗 女黑客被捕

一名黑客盗取了包括姓名、地址、电话号码和信用分数在内的个人信息，影响到美国约1亿客户和加拿大600万客户，目前这名黑客已被逮捕。>>详细

苹果回应Siri窃听和审听：使用了1%的用户录音

Siri语音助手很容易被激活，有时还能监听到私人对话，比如人们与医生交谈、毒品交易和性接触谈话内容。>>详细

网页端 Outlook 365 发送的邮件会泄露用户的 IP 地址

任何使用Office 365 WebMail组件发送的邮件都可能无意中向对方共享了自己的IP地址。网页端Outlook 365会在邮件的标题中插入发送者的IP地址。

技术观澜

由于Android生态链条十分长，从Android版本发布到消费者手里，要经过许多环节，这直接导致了许多混乱，生态各方与Android系统无法解耦，升级更新困难，安全问题层出不穷。>>详细

程序员除了会 CRUD 之外，还应该知道什么叫 CQRS！

安全威胁播报

上周漏洞基本情况

上周（2019年7月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞443个，其中高危漏洞198个、中危漏洞181个、低危漏洞64个。漏洞平均分值为6.50。上周收录的漏洞中，涉及0day漏洞107个（占24%），其中互联网上出现“Invoxia NVX220信任管理问题漏洞、Private Internet Access (PIA) VPN客户端任意代码执行漏洞（CNVD-2019-24214）”等零日代码攻击漏洞。

上周重要漏洞安全告警

HP产品安全漏洞

HPE Intelligent Management Center（IMC）是一个从底层构建的综合管理平台，支持故障、配置、记账、性能及安全（FCAPS）模型。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全机制执行未授权操作，导致缓冲区溢出，执行远程代码，造成拒绝服务。

CNVD收录的相关漏洞包括：HPE Intelligent ManagementCenter (IMC)拒绝服务漏洞、HPE Intelligent ManagementCenter (IMC) UrlAccessController认证绕过漏洞、HPE Intelligent Management Center (IMC)远程代码执行漏洞（CNVD-2019-23771、CNVD-2019-23769、CNVD-2019-23770、CNVD-2019-23772、CNVD-2019-23773）、HPE Intelligent ManagementCenter (IMC)栈缓冲区溢出漏洞（CNVD-2019-24023）。其中，除“HPE Intelligent Management Center (IMC)远程代码执行漏洞（CNVD-2019-23769）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

CloudBees产品安全漏洞

CloudBees Jenkins是一套基于Java开发的持续集成工具，它主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，造成拒绝服务（无限循环）等。

CNVD收录的相关漏洞包括：CloudBees Jenkins SSHCredentials Plugin任意文件读取漏洞、CloudBees Jenkins SAMLPluginHTTP会话固定漏洞 、CloudBeesjenkins-email-ext Email Extension插件信息泄露漏洞、CloudBees Jenkins拒绝服务漏洞（CNVD-2019-23809）、CloudBees Jenkins Cloud Foundry Plugin信息泄露漏洞、CloudBees Jenkins JMS Messaging Plugin服务器请求伪造漏洞、CloudBees Jenkins Script Security Plugin沙盒绕过漏洞、CloudBees Jenkins信息泄露漏洞（CNVD-2019-24407）。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Google Android Mediaframework远程代码执行漏（CNVD-2019-23555、CNVD-2019-23556）、Google Android System组件远程代码执行漏洞、Google Android Framework组件远程代码执行漏洞（CNVD-2019-23561、CNVD-2019-23562、CNVD-2019-23563）、Google Android远程代码执行漏洞（CNVD-2019-24161、CNVD-2019-24164）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Moxa产品安全漏洞

Moxa OnCell G3100-HSPA是一款G3100-HSPA系列蜂窝网络网关设备。Moxa OnCell G3470A-LTE是一款G3470A-LTE系列蜂窝网络网关设备。Moxa AWK-3121是一款工业级无线访问接入点。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，破坏内存等。

CNVD收录的相关漏洞包括：Moxa OnCell G3100-HSPA安全绕过漏洞、Moxa OnCell G3100-HSPA内存破坏漏洞（CNVD-2019-23543、CNVD-2019-23545）、Moxa OnCell G3470A-LTE内存破坏漏洞（CNVD-2019-23546、CNVD-2019-23547）、Moxa OnCell G3100-HSPA安全特征问题漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密问题漏洞。其中，除“Moxa OnCell G3100-HSPA安全特征问题漏洞、Moxa AWK-3121信息泄露漏洞、Moxa AWK-3121加密问题漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Sony BRAVIA Smart TVs拒绝服务漏洞

Sony BRAVIA Smart TVs是日本索尼（Sony）公司的一款智能电视。Sony BRAVIA Smart TVs被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成电视卡屏，无法响应，程序崩溃并且导致电视重启。

小结

上周，HP被披露存在多个漏洞，攻击者可利用漏洞绕过安全机制执行未授权操作，导致缓冲区溢出，执行远程代码，造成拒绝服务。此外，CloudBees、Google、Moxa等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，造成拒绝服务（无限循环）等。Sony BRAVIA Smart TVs被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成电视卡屏，无法响应，程序崩溃并且导致电视重启。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案

复IE远程代码执行漏洞