國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞597個，互聯網上出現“Intelbras WRN 150安全繞過漏洞、Joomla! Quiz Deluxe組件SQL注入漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　還在擔心WPA2？微軟、谷歌、惠普、聯想等科技巨頭警告英飛凌芯片漏洞

　　研究員們發現并分析了多個領域中的脆弱密鑰，包括電子公民文件、身份驗證令牌、可信啟動設備、軟件包簽名、TLS/HTTPS密鑰和PGP。>>詳細

　　歐洲爆發新勒索病毒 已擴散至多國

　　安全研究人士稱，該勒索軟件偽裝成奧多比系統公司的Flash多媒體產品更新，一經下載就會試圖在受害電腦所處的網絡傳播。>>詳細

　　淺談三星KNOX安全解決方案

　　Knox通過嚴格定義每一個進程允許的行為以及其能獲取到的數據，從而保護應用和數據。這使得Knox系統能在一個可管理的容器里隔離、加密、保護數據。這一點應該是三星從android機制上進行的安全加強。也就是SElinux，這一做法android6.0后續版本也連續跟進了。>>詳細

　　技術觀瀾

　　意法半導體將展示物聯網支付技術和安全解決方案

　　意法半導體將聚焦四大領域:金融支付卡、身份識別卡、公交卡等智能卡解決方案；移動產品和穿戴設備SIM卡移動網安全解決方案和近距離通信(NFC)安全解決方案；產品驗證，覆蓋品牌保護、可信平臺模塊(TPM);強大的物聯網安全驗證解決方案；物聯網和智能應用NFC/RFID解決方案。>>詳細

　　能從銀行卡中讀出身份證號碼 你信嗎？

　　根據中國金融集成電路IC卡規范的交易流程別有用心的人可以使用POS對IC卡進行應用選擇、應用初始化、讀取應用數據步驟獲得交互數據，而此步得到的TLV格式應用數據中就可能包含持卡人的身份證號。>>詳細

　　WPA2密鑰重裝攻擊原理分析

　　在WPA2中運用了豐富的密碼手段，原因是無線信道的開放性必須有加密措施來保證傳輸過程的安全。握手協議則是通信雙方互相進行一個身份確認的過程。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年10月16日-2017年10月22日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞597個，其中高危漏洞114個、中危漏洞442個、低危漏洞41個。漏洞平均分值為5.44。上周收錄的漏洞中，涉及0day漏洞190個（占32%），其中互聯網上出現“Intelbras WRN 150安全繞過漏洞、Joomla! Quiz Deluxe組件SQL注入漏洞”零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數635個，與前周（818個）環比下降22%。

　　上周重要漏洞安全告警

　　Wi-Fi Alliance產品安全漏洞

　　WPA（Wi-FiProtected Access）是一種保護無線電腦網絡（Wi-Fi）安全的系統。上周，該產品被披露存在密鑰重裝漏洞，攻擊者可利用漏洞任意數據包解密和注入，TCP連接劫持，HTTP內容注入或單播和組尋址幀的重放。

　　CNVD收錄的相關漏洞包括：WPA2無線網絡IGTK組密鑰重裝漏洞（CNVD-2017-30402、CNVD-2017-30403）、WPA2無線網絡GTK組密鑰重裝漏洞、WPA2無線網絡IGTK組密鑰重裝漏洞、WPA2無線網絡PTK-TK加密密鑰重裝漏洞、WPA2無線網絡PTK-TK加密密鑰重裝漏洞、WPA2無線網絡STK密鑰重裝漏洞、WPA2無線網絡TPK密鑰重裝漏洞。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Microsoft產品安全漏洞

　　Microsoft Windows Server2016等都是美國微軟公司發布的操作系統。Internet Explorer（IE）是其中的一個瀏覽器。Microsoft Edge是內置于Windows 10版本中的網頁瀏覽器。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft Edge腳本引擎遠程內存破壞漏洞（CNVD-2017-30539、CNVD-2017-30540、CNVD-2017-30541、CNVD-2017-30542、CNVD-2017-30543）、MicrosoftInternet Explorer Scripting內存破壞漏洞、Microsoft Internet Explorer內存破壞漏洞（CNVD-2017-30134、CNVD-2017-30137）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Oracle產品安全漏洞

　　Oracle HospitalityApplications是美國甲骨文公司的一套用于酒店管理的業務應用程序、服務器和存儲解決方案。Hospitality Suite8是其中的一個高級客戶管理組件。上周，該產品被披露存未明漏洞，攻擊者可利用漏洞影響系統的機密性、完整性及可用性。

　　CNVD收錄的相關漏洞包括：OracleHospitality Suite8存在未明漏洞（CNVD-2017-30879、CNVD-2017-30880、CNVD-2017-30881、CNVD-2017-30882、CNVD-2017-30883、CNVD-2017-30884、CNVD-2017-30885、CNVD-2017-30886）。其中，“OracleHospitality Suite8存在未明漏洞（CNVD-2017-30880、CNVD-2017-30881）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Huawei產品安全漏洞

　　Huawei FusionSphere和FusionSphereOpenStack（FSO）都是華為公司的產品，前者是基于OpenStack框架開發的云操作系統產品，后者是FusionSphere在ICT場景中的云平臺軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息、提升權限或插入惡意程序等。

　　CNVD收錄的相關漏洞包括：HuaweiFusionSphere OpenStack鑒權不當漏洞、Huawei FusionSphere OpenStack鑒權不當漏洞（CNVD-2017-30767）、HuaweiFusionSphere OpenStack路徑校驗漏洞、Huawei FusionSphere OpenStack命令注入漏洞（CNVD-2017-30766、CNVD-2017-30901）、HuaweiFusionSphere OpenStack簽名校驗漏洞、Huawei FusionSphere OpenStack權限提升漏洞、HuaweiFusionSphere OpenStack信息泄露漏洞。除“Huawei FusionSphere OpenStack路徑校驗漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Progea Movicon SCADA/HMI權限提升漏洞

　　Movicon是由意大利自動化軟件供應商PROGEA公司開發的(Scada/HMI)工業監控軟件。上周，Progea被披露存在權限提升漏洞，本地用戶可將任意代碼插入到未引用的服務路徑中，并升級其權限。目前，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Wi-Fi Alliance被披露存在密鑰重裝漏洞，攻擊者可利用漏洞任意數據包解密和注入，TCP連接劫持，HTTP內容注入或單播和組尋址幀的重放。此外，Microsoft、Oracle、Huawei多款產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息、提升權限或執行任意代碼等。另外，Progea被披露存在權限提升漏洞，本地用戶可將任意代碼插入到未引用的服務路徑中，并升級其權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、中國證券網、移動支付網、FreeBuf.COM、安全牛、安智客報道

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇