中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞491個，互聯網上出現“ZyXEL EMG2926路由器遠程命令執行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾和月末大講堂，深入探討信息安全知識。

　　一周行業要聞速覽

　　移動金融產業年報（2016）透露了哪些重要信息？

　　報告顯示，2016年全球智能手機出貨量15億，國內手機出貨量5億，TEE已全面裝備到智能手機中。融合SE+TEE的終端安全方案得到了相關監管機構的認可，2017年有望成為智能終端的標準配置。>>詳細

　　《2016年我國互聯網網絡安全態勢綜述》報告發布

　　2016年態勢報告全文主要包括三大部分，一是2016年我國互聯網網絡安全監測數據分析，包括木馬和僵尸網絡、移動互聯網安全、拒絕服務攻擊、安全漏洞、網站安全五個方面網絡安全宏觀監測數據情況；二是2016年我國互聯網網絡安全狀況，分析了域名系統安全、工控系統、智能設備、移動互聯網、APT攻擊、敲詐勒索軟件等方面表現出的新特點。>>詳細

　　啟明星辰ADLab勒索軟件專題報告

　　縱觀過去一年國內外網絡勒索事件，可以看到，勒索軟件在運行模式、加密技術等方面不斷創新和改進，攻擊目標從醫療、交通、政府、酒店等行業，開始出現向IOT、工控，以及公有云領域擴展的趨勢。另外，趨勢科技2016 年度安全報告顯示，新勒索軟件家族的數量僅2016 年就增加了752%。>>詳細

　　微軟改進雙因素驗證 轉變為無密碼手機驗證登錄

　　最近，這款應用在微軟賬號上推出了新功能：不用填寫密碼，使用手機驗證就能登錄。啟用手機驗證后，（網頁端）輸入微軟賬號，你將在手機上收到登錄提醒。你可以選擇批準直接登錄，或者拒絕登錄。>>詳細

　　賽門鐵克發現Hajime蠕蟲軟件與Mirai爭奪物聯網控制權

　　蠕蟲制造者可隨時在網絡中的任意受感染設備打開Shell腳本。由于該蠕蟲使用了模塊化代碼，因此設計者可隨時添加新的功能。從Hajime的代碼可明顯看出，設計者對該蠕蟲病毒進行深入的開發與設計。>>詳細

　　技術觀瀾

　　深入了解惡意軟件如何濫用TeamViewer？

　　如果TeamSpy成功感染了用戶，則不會顯示任何內容，因為所有操作都是在后臺運行的，因此攻擊目標不會注意到安裝了TeamViewer。這是通過掛接許多API函數并改變其行為來實現的。TeamSpy掛接了以下近50種不同的API。>>詳細

　　如何使用加密的Payload來識別并利用SQL注入漏洞？

　　不可否認，密碼學具有各種各樣的優點，比如信息的機密性，但是對于密碼過分的依賴，利用其保護應用程序儼然是一個壞主意。在這篇文章中我們app安全的首席培訓師森爾·亞達夫，將針對一個案例進行研究，其中有一個SQL注入漏洞是通過加密的payload來進行識別和利用的。>>詳細

　　月末大講堂

　　驗證碼安全那些事

　　最近在研究驗證碼安全，本文主要分析四種流行的驗證碼(圖形，短信，語音和滑動)進行分析，寫這篇文章的出發點并非是繞過或破解驗證碼，而是根據自身業務情況來選擇對應的驗證碼類型，在用戶體驗和安全性中找到屬于自己的平衡點。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周（2017-04-17--2017-04-23）共收集、整理信息安全漏洞491個，其中高危漏洞188個、中危漏洞260個、低危漏洞43個。漏洞平均分值為6.25。上周收錄的漏洞中，涉及0day漏洞83個（占17%），其中互聯網上出現“ZyXEL EMG2926路由器遠程命令執行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代碼攻擊漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數661個，與上周（597個）環比增長11%。

　　上周重要漏洞安全告警

　　Jackson框架存在Java反序列化代碼執行漏洞

　　Jackson是一個開源的java序列化與反序列化工具。上周，該產品被披露存在Java反序列化代碼執行漏洞，攻擊者可利用漏洞在服務器主機上執行任意代碼或系統指令，取得網站服務器的控制權。CNVD收錄的相關漏洞包括：Jackson框架enableDefaultTyping方法反序列化漏洞。該漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Adobe產品安全漏洞

　　Adobe Acrobat和Reader是美國Adobe公司開發的一款可以用便攜式文檔格式出版所有的文檔的編輯軟件。上周，該產品被披露存在內存破壞漏洞，攻擊者可利用漏洞控制受影響的系統，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader內存破壞漏洞（CNVD-2017-04690、CNVD-2017-04691、CNVD-2017-04692、CNVD-2017-04693、CNVD-2017-04694、CNVD-2017-04695、CNVD-2017-04696、CNVD-2017-04697）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Google產品安全漏洞

　　Google Android是一款基于Linux開放性內核的手機操作系統。上周，該產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　CNVD收錄的相關漏洞包括：Google AndroidBroadcom Wi-Fi Driver權限提升漏洞（CNVD-2017-04965、CNVD-2017-04966、CNVD-2017-04967、CNVD-2017-04968、CNVD-2017-04969、CNVD-2017-04576、CNVD-2017-04578、CNVD-2017-04579）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Huawei產品安全漏洞

　　華為Tecal RH1288V2等都是中國華為（Huawei）公司的服務器。華為Campus S7700等都是企業級園區交換機。華為HiSuite是一套用于PC端的手機助手軟件。HuaweiVicky-AL00A/Victoria-AL00A是一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、執行任意代碼和發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：多款華為服務器緩沖區溢出漏洞、華為CampusS7700/S9300/S9700交換機安全繞過漏洞、華為Campus系列交換機堆緩沖區溢出漏洞、華為交換機Y.1731拒絕服務漏洞、華為HiSuite中間人攻擊漏洞、華為手機Bastet組件存在多個緩沖區溢出漏洞（CNVD-2017-04679、CNVD-2017-04678）、華為手機Bastet組件存在多個緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Linksys Smart Wi-Fi Routers命令注入漏洞

　　Linksys Smart Wi-Fi Routers是智能Wi-Fi路由器。上周，Linksys Smart Wi-Fi Routers被披露存在命令注入漏洞，攻擊者通過設備認證可以以root權限在設備的操作系統上注入和執行惡意代碼。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　更多高危漏洞如下表所示，詳細信息可根據CNVD編號，在CNVD官網進行查詢。

　　小結

　　上周，Jackson被披露存在Java反序列化代碼執行漏洞，攻擊者可利用漏洞在服務器主機上執行任意代碼或系統指令。此外，Adobe、Google、Huawei等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、繞過安全限制、提升權限或發起拒絕服務攻擊等。另外，Linksys Smart Wi-FiRouters被披露存在命令注入漏洞，攻擊者通過設備認證可以root權限在設備的操作系統上注入和執行惡意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　?。ㄖ袊娮鱼y行網綜合移動支付網、CNCERT、啟明星辰ADLab、嘶吼RoarTalk、安全牛、AE科學社、黑吧安全網、紅黑聯盟報道）　　

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇