國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞348個，互聯網上出現“多款ASUS產品Asuswrt-Merlin固件棧緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　奮斗了五年的中國集成電路 取得了怎樣的成績？

　　集成電路作為信息技術產業的核心，是支撐經濟社會發展和保障國家安全的戰略性、基礎性和先導性產業，是培育發展戰略性新興產業、推動信息化和工業化深度融合的基礎，同時也是工業強基工程的重要支撐。>>詳細

　　網聯細化支付機構接入要求大中小型各不相同

　　網聯表示，將采取“平臺分配”、“跨地域接入”和“跨運營商”的三大接入原則。網聯平臺將根據機構數據中心的位置進行分配，就近接入平臺的數據中心。同時，機構必須至少接入平臺異地的兩個數據中心，以及至少選擇2家不同的運營商。>>詳細

　　技術觀瀾

　　研究者利用TrustZone將安卓設備降級

　　攻擊者可以將Android TrustZone技術的組件降級到具有已知漏洞的舊版本，并對運行最新操作系統的智能手機使用較舊的漏洞。>>詳細

　　【硬件安全】通過DMA攻擊UEFI

　　與Mac不同，許多PC可能易受到針對UEFI的預引導直接內存訪問（DMA）攻擊。如果在配置了安全引導的系統上發生攻擊，那么信任鏈就會損壞，安全引導會變得不安全。>>詳細

　　Apache Struts2插件高危漏洞(S2-052)

　　當使用帶有XStream處理程序的Struts REST插件來處理XML有效負載時，可能會發生遠程執行代碼攻擊。>>詳細

　　全球最隱秘的十種惡意攻擊

　　作為回應，黑客開始盜取合法的全局信任代碼簽名證書，并用這些證書簽署自己的惡意軟件。如此一來，用戶就會得到偽裝成合法程序或更新的木馬，并毫不知情地安裝到系統中。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年08月28日-2017年09月03日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞348個，其中高危漏洞108個、中危漏洞215個、低危漏洞25個。漏洞平均分值為5.94。上周收錄的漏洞中，涉及0day漏洞66個（占19%），其中互聯網上出現“多款ASUS產品Asuswrt-Merlin固件棧緩沖區溢出漏洞”等零日代碼攻擊漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數1641個，與上周（1483個）環比增長11%。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　Android是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在拒絕服務和遠程代碼執行漏洞，攻擊者可利用漏洞發起拒絕服務攻擊或執行任意代碼。

　　CNVD收錄的相關漏洞包括：Android Mediaframework avc decoder遠程代碼執行漏洞、Android Media frameworkh263 decoder遠程代碼執行漏洞、Android Media framework libavc拒絕服務漏洞、Android Mediaframework libavc遠程代碼執行漏洞、Android Media frameworklibavc遠程代碼執行漏洞（CNVD-2017-23413）、Android Media frameworklibhevc遠程代碼執行漏洞、Android Media framework libmpeg2遠程代碼執行漏洞、Android Mediaframework mpeg2 decoder遠程代碼執行漏洞。上述漏洞的綜合評級為“高?！?。

　　目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10是美國微軟公司發布的一套新一代跨平臺操作系統。Microsoft Edge是其中的一款系統附帶的Web瀏覽器。JavaScriptengines是其中的一個JavaScript引擎組件。上周，上述產品被披露存在內存破壞和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意的代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Microsoft Edge內存破壞漏洞（CNVD-2017-24167、CNVD-2017-24168、CNVD-2017-24169、CNVD-2017-24170）、MicrosoftWindows Edge JavaScript引擎遠程代碼執行漏洞（CNVD-2017-23797、CNVD-2017-23798、CNVD-2017-23799、CNVD-2017-23800）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Advantech產品安全漏洞

　　Advantech WebAccess是研華（Advantech）公司的一套基于瀏覽器架構的HMI/SCADA軟件。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證、執行任意代碼或提升權限等。

　　CNVD收錄的相關漏洞包括：AdvantechWebAccess HEAP緩沖區溢出漏洞、Advantech WebAccess堆棧緩沖區溢出漏洞、AdvantechWebAccess緩沖區溢出漏洞（CNVD-2017-238855）、Advantech WebAccess權限提升漏洞、AdvantechWebAccess未授權操作漏洞、Advantech WebAccess驗證繞過漏洞、AdvantechWebAccess任意代碼執行漏洞（CNVD-2017-23882、CNVD-2017-23878）。除“AdvantechWebAccess任意代碼執行漏洞（CNVD-2017-23878）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Oracle產品安全漏洞

　　Oracle Financial ServicesApplications是美國甲骨文（Oracle）公司的一套集核心銀行、網上銀行和財產管理于一身的金融服務軟件。

　　Oracle SunSystems Products Suite是一款Sun系統產品套件。Oracle FusionMiddleware是一套面向企業和云環境的業務創新平臺。Oracle WebLogic Server是其中的一個適用于云環境和傳統環境的應用服務器組件。Outside InTechnology是其中的一個軟件開發工具包組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的可用性、保密性和完整性。

　　CNVD收錄的相關漏洞包括：OracleFLEXCUBE Private Banking未授權讀取漏洞、Oracle FLEXCUBE PrivateBanking未授權訪問漏洞、Oracle FLEXCUBE Universal Banking未授權操作漏洞（CNVD-2017-24334、CNVD-2017-24342）、Oracle OutsideIn Technology遠程漏洞（CNVD-2017-24347、CNVD-2017-24348）、Oracle Solaris遠程漏洞（CNVD-2017-24337）、OracleWebLogic Server遠程漏洞（CNVD-2017-24344）。其中，“Oracle Solaris遠程漏洞（CNVD-2017-24337）、OracleWebLogic Server遠程漏洞（CNVD-2017-24344）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Siemens LOGO!8 BM中間人攻擊漏洞

　　LOGO!8是西門子第8代智能邏輯控制器。上周，Siemens被披露存在中間人攻擊漏洞，攻擊者可利用漏洞解密或修改網絡流量。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Google被披露存在拒絕服務和遠程代碼執行漏洞，攻擊者可利用漏洞發起拒絕服務攻擊或執行任意代碼。此外，Microsoft、Advantech、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限、執行任意代碼或發起拒絕服務攻擊等。另外，Siemens被披露存在中間人攻擊漏洞，攻擊者可利用漏洞解密或修改網絡流量。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合中國支付網、人民郵電報、黑白之道、安全牛、CFCA信息安全實驗室報道　　

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇