中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞287个，互联网上出现“Apple iOS远程内存破坏漏洞、NodCMS

　　PHP代码执行漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

　　一周信息安全要闻速览

　　Mirai新攻击 导致非洲一国全断网

　　此次DDoS攻击的威力依然不容小觑，攻击流量达到了1.1Tbps，攻击导致利比里亚全国的网站都无法正常访问。当然，对于一个不发达的非洲国家来说，利比里亚在互联网的普及程度上并不高，全国大约仅有6%的地区有网络。>>详细

　　Gmail认证出现漏洞 任何人可劫持任意邮件账户

　　攻击者通过给谷歌发信来验证某邮件地址所有权状态。谷歌向该地址发送邮件进行确认。该邮件地址无法收取验证邮件，于是，谷歌的邮件被发回给实际发件人，而这次，里面带上了验证码。该验证码将被黑客利用，邮件地址的所有权被确认。>>详细

　　第三方支付将纳入“反洗钱”责任主体范围 5万元纳入报告

　　新版《办法》修订稿显示，大额交易报告的标准出现较大调整，要求对当日单笔或者累积交易人民币5万元以上的交易进行报告，而目前这一项的标准是20万元，这表明报告的起点比之前大大降低。>>详细

　　乐购面临19亿英镑罚款：数据泄露不再是儿戏

　　周末开始接到客户报告账户不符后，乐购银行暂停了所有网上交易。银行承诺赔付客户因安全事件而损失的钱款，但资金到位还需要一定时间。乐购银行CEO本尼·希金斯承认：“乐购银行证实，周末部分客户的现金账户遭到了网上犯罪活动的攻击，某些攻击造成了账户被非法支龋”

　　>>详细

　　国务院发文：支持移动支付发展

　　支持企业运用大数据技术分析顾客消费行为，开展精准服务和定制服务，灵活运用网络平台、移动终端、社交媒体与顾客互动，建立及时、高效的消费需求反历制，做精做深体验消费。支持企业开展服务设施人性化、智能化改造，鼓励社会资本参与无线网络、移动支付、自助服务、停车场等配套设施建设。>>详细

　　腾讯云发力海外抗D市场 与Radware达成战略合作

　　Radware的缓解解决方案支持所有常见的SSL/TLS，无需用户交出证书秘钥，利用行为分析技术识别可疑流量，将可疑流量导入旁路部署的设备中进行解密，通过询问应答机制识别攻击并缓解。>>详细

　　安全漏洞周报

　　本周漏洞基本情况

　　本周信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞287个，其中高危漏洞146个、中危漏洞132个、低危漏洞9个。漏洞平均分值为6.82。本周收录的漏洞中，涉及0day漏洞129个(占45%)。其中互联网上出现“Apple

　　iOS远程内存破坏漏洞、NodCMS

　　PHP代码执行漏洞”零日代码攻击漏洞，请使用相关产品的用户注意加强防范。此外，本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数835个，与上周(1000个)环比增长17%。

　　本周重要漏洞信息

　　1、Microsoft产品安全漏洞

　　11月8日，微软发布了2016年11月份的月度例行安全公告，共含14项更新，修复了MicrosoftWindows、InternetExplorer、Edge、Office、Office

　　Services、SQL Server和

　　WebApps中存在的67个安全漏洞。其中，5项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞，攻击者可提升权限，远程执行任意代码。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

　　CNVD收录的相关漏洞包括：MicrosoftOffice内存破坏漏洞(CNVD-2016-10969、CNVD-2016-10968、CNVD-2016-10967、CNVD-2016-10966、CNVD-2016-10976、CNVD-2016-10975、CNVD-2016-10974、CNVD-2016-10973)等。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　2、Adobe产品安全漏洞

　　Adobe Flash

　　Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。本周，该产品被披露存在内存错误引用和远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Adobe

　　FlashPlayer内存错误引用漏洞(CNVD-2016-10916、CNVD-2016-10915、CNVD-2016-10914、CNVD-2016-10913、CNVD-2016-10912、CNVD-2016-10911)、Adobe

　　FlashPlayer类型混淆远程代码执行漏洞(CNVD-2016-10908、CNVD-2016-10909)等。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　3、OIC产品安全漏洞

　　Exponent

　　CMS是美国OIC集团公司的一套基于PHP的免费、开源的模块化内容管理系统(CMS)。本周，该产品被披露存在SQL注入漏洞，攻击者可利用漏洞控制应用程序，访问或修改数据。

　　CNVD收录的相关漏洞包括：Exponent CMS'version'参数SQL注入漏洞、Exponent CMS

　　'author'参数SQL注入漏洞、Exponent CMS'src'参数SQL注入漏洞、Exponent CMS

　　'title'参数SQL注入漏洞、Exponent CMS'username'参数SQL注入漏洞、Exponent CMS

　　'is_what'参数SQL注入漏洞、Exponent CMS'version'参数SQL注入漏洞、Exponent CMS

　　'fileid'参数SQL注入漏洞等。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　4、IBM产品安全漏洞

　　IBM InfoSphereInformation Server Framework(ISF)和IBM InfoSphereInformation

　　Server on Cloud是美国IBM公司的产品。IBM AIX是一套UNIX操作系统。 IBM

　　Campaign是一套用于帮助营销人员设计、执行、衡量和优化营销广告的管理解决方案。IBM RationalTeam

　　Concert(RTC)是一套基于Jazz平台且支持分散团队进行实时相关协作的软件生命周期管理解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限或发起跨站脚本攻击等。

　　CNVD收录的相关漏洞包括：IBM AIX lquerylv本地提权漏洞、IBM Campaign跨站脚本漏洞、IBM RationalTeam

　　Concert跨站脚本漏洞(CNVD-2016-10752、CNVD-2016-10750)、IBM RationalTeam Concert注入漏洞、IBM

　　InfoSphere Information Server Framework和IBM InfoSphereInformation Server on

　　Cloud点击劫持漏洞。其中“IBM AIX lquerylv本地提权漏洞、IBM RationalTeam

　　Concert注入漏洞”的危害等级为“高级”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　5、NodCMS PHP代码执行漏洞

　　NodCMS是一套免费的支持多语种的PHP开发框架。本周，NodCMS被披露存在代码执行漏洞。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码，也可能造成拒绝服务。目前，厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页，以获取最新版本。

　　专家点评和建议

　　中国电子银行网特约中国金融认证中心(CFCA)信息安全专家，对漏洞风险作出如下小结：11月8日，微软发布了2016年11月份的月度例行安全公告，共含14项更新，修复了MicrosoftWindows、Internet

　　Explorer、Edge、Office、Office Services、SQL Server和

　　WebApps中存在多个漏洞。攻击者可提升权限，远程执行任意代码。此外，Adobe、OIC、IBM等多款产品被披露存在多个安全漏洞，攻击者利用漏洞执行任意代码、提升权限或发起跨站脚本攻击等。建议相关用户随时关注上述厂商主页，及时获取修复补厄解决方案。