國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞356個，互聯網上出現“QNAPQ'center Virtual Appliance命令注入漏洞、TP-Link WR840N緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　近十萬個互聯網用戶郵箱疑似被黑客控制 小心黑客“釣魚”竊密

　　工信部日前發布消息稱，監測發現第二季度接近十萬個互聯網用戶郵箱疑似被黑客控制，并被用來發送垃圾郵件，相關郵箱的賬號和密碼很可能已泄露或被竊取，存在被進一步竊密或實施釣魚攻擊的風險。>>詳細

　　美媒：中國進一步抑制加密貨幣投機但仍支持區塊鏈

　　區塊鏈技術具有點對點交易、分布式記賬、區塊信息廣播等技術特性，能夠有效提升交易的效率性和經濟性，一些投資者認為它能夠像互聯網一樣改變世界，加密貨幣的交易價格一度大幅攀升。>>詳細

　　英特爾最新第8代移動處理器，為修補安全漏洞性能預計會下降3-10％

　　鑒于Meltdown（熔斷）和Spectre（幽靈）漏洞兩組漏洞在今年引發的全球關注，英特爾最新的移動處理器的安全性同樣值得關注。>>詳細

　　技術觀瀾

　　什么是區塊鏈？——科普篇

　　挖礦的難度通過編碼嵌入了區塊鏈的協議；比特幣和以太坊的設計意圖就是要讓解出新區塊的難度隨著時間的推移變得越來越大。>>詳細

　　移動銀行木馬程序Asacub的崛起

　　Asacub主要針對的是俄羅斯用戶，98%的感染(22.5萬)發生在俄羅斯，因為網絡犯罪者專門針對俄羅斯一家大型銀行的客戶。該木馬程序還攻擊了烏克蘭、土耳其、德國、白俄羅斯、波蘭、亞美尼亞、哈薩克斯坦、美國和其他國家的用戶。>>詳細

　　通過郵件大規模傳播竊密木馬的事件分析

　　木馬可以竊取包括瀏覽器、郵件客戶端、FTP等軟件的密碼，傳播多采用CVE-2017-11882和宏進行傳播，最終將竊取的密碼上傳到指定的郵箱中。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年08月27日-2018年09月02日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞356個，其中高危漏洞127個、中危漏洞205個、低危漏洞24個。漏洞平均分值為6.20。上周收錄的漏洞中，涉及0day漏洞132個（占37%），其中互聯網上出現“QNAPQ'center Virtual Appliance命令注入漏洞、TP-Link WR840N緩沖區溢出漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　Google Chrome是一款Web瀏覽器。Android是一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，權限提升，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Google Android Kernel組件權限提升漏洞（CNVD-2018-16973、CNVD-2018-16972）、Google Android System權限提升漏洞（CNVD-2018-16976）、Google Android Mediaframework權限提升漏洞（CNVD-2018-16981）、Google Android Framework信息泄露漏洞（CNVD-2018-16983）、Google Chrome堆緩沖區溢出漏洞（CNVD-2018-17041、CNVD-2018-17043、CNVD-2018-17049）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10是一套個人電腦使用的操作系統。Windows Server2008 SP2是一套服務器操作系統。Windows Server Version 1709是一套服務器操作系統。Windows PDFLibrary是其中的一個PDF庫。Microsoft Excel是一款電子表格處理軟件。InternetExplorer是一款網頁瀏覽器。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftWindows LNK遠程代碼執行漏洞（CNVD-2018-16833、CNVD-2018-16832）、MicrosoftWindows Graphics Component遠程執行代碼漏洞、Microsoft Excel遠程代碼執行漏洞（CNVD-2018-16841）、MicrosoftInternet Explorer遠程代碼執行漏洞（CNVD-2018-16846）、MicrosoftWindows Shell遠程代碼執行漏洞（CNVD-2018-17078）、Microsoft Windows PDF遠程代碼執行漏洞（CNVD-2018-17083）、MicrosoftExcel遠程代碼執行漏洞（CNVD-2018-17092）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Samsung產品安全漏洞

　　Samsung SmartThings Hub是一款智能家居管理設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：SamsungSmartThings Hub緩沖區溢出漏洞、Samsung SmartThings Hubvideo-core HTTP服務器緩沖區溢出漏洞（CNVD-2018-17077、CNVD-2018-17076、CNVD-2018-17075）、SamsungSmartThings Hub棧緩沖區溢出漏洞、Samsung SmartThings Hubvideo-core HTTP服務器注入漏洞、Samsung SmartThings HubHTTP響應拆分漏洞、Samsung SmartThings Hub video-core HTTP服務器覆蓋漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM API Connect（又名APIConnect）是一套用于管理API生命周期的集成解決方案。IBM WebSphereApplication Server（WAS）是一款應用服務器產品，它是Java EE和Web服務應用程序的平臺，也是IBM WebSphere軟件平臺的基礎。IBM MaximoAsset Management是一套綜合性資產生命周期和維護管理解決方案。IBM InfoSphereInformation Server是信息集成平臺。IBM Security IdentityManager（ISIM）是一套身份管理和治理解決方案。IBM Spectrum Scale是一套基于IBM GPFS（專為PB級存儲管理而優化的企業文件管理系統）的可擴展的數據及文件管理解決方案。GSKit是其中的一套IBM產品的安全管理工具。IBM NetezzaPlatform Software是一套基于InfoSphere Smart Analytics技術并可應對實時決策、欺詐檢測等需求的集成數據系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞誘使服務器執行惡意的調用，獲取敏感信息，提升權限，執行任務代碼。

　　CNVD收錄的相關漏洞包括：IBM APIConnect服務器端請求偽造漏洞、IBM WebSphere Application Server信息泄露漏洞（CNVD-2018-16971）、IBM WebSphereApplication Server Liberty信息泄露漏洞（CNVD-2018-17070）、IBM MaximoAsset Management SQL注入漏洞（CNVD-2018-17089）、IBM InfoSphereInformation Server信息泄露漏洞（CNVD-2018-17156）、IBM SecurityIdentity Manager Virtual Appliance代碼執行漏洞、IBM SpectrumScale GSKit提權漏洞、IBM Netezza Platform Software本地權限提升漏洞。其中，“IBM APIConnect服務器端請求偽造漏洞、IBM Netezza Platform Software本地權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　ASUS DSL-N12E_C1遠程命令執行漏洞

　　ASUS DSL-N12E_C1是華碩（ASUS）公司的一款無線路由器產品。上周，ASUS DSL-N12E_C1被披露存在遠程命令執行漏洞。遠程攻擊者可借助服務參數利用該漏洞執行任意操作系統命令。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Google被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，權限提升，執行任意代碼。此外，Microsoft、Samsung、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞誘使服務器執行惡意的調用，獲取敏感信息，提升權限，執行任務代碼或發起拒絕服務攻擊。另外，ASUS DSL-N12E_C1被披露存在遠程命令執行漏洞。遠程攻擊者可借助服務參數利用該漏洞執行任意操作系統命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、經濟日報、新浪科技、雷鋒網、百家號金融系、嘶吼RoarTalk、FreebuF.COM報道

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇