高通與三星在香港宣布，正合作開發5G小型基站，使海量5G網絡速率、容量、覆蓋和超低時延成為可能，并支持5G基礎設施的規?；渴?。該方案將于2020年推出。>>詳細

　　技術觀瀾

　　姚期智院士：神秘的量子計算跟經典計算到底有何不同

　　經典計算機通過操縱經典比特進行布爾運算，類似的，量子計算機是操縱量子比特。這些量子比特處在一個更大的狀態空間中，量子操作本質上就是去旋轉它們。>>詳細

　　多因子身份驗證(MFA)技術盤點

　　身份驗證方法多種多樣，但并不是每一種都能給您同等的安全?；谕扑偷牧钆瓶赡鼙扔布钆聘行?，但不是所有基于推送的令牌都采用同樣的工作方式。推出MFA解決方案時要確保充分理解所選MFA方法的安全程度和風險等級。>>詳細

　　SIEM、UBA、UEBA分不清？那就真該看看本指南

　　導致防御措施跟不上威脅發展的罪魁禍首并不是防火墻、IDS、IPS和終端安全軟件檢測不到網絡攻擊，而是它們產生的警報開始讓防御者不堪重負。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年10月15日-2018年10月21日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞244個，其中高危漏洞101個、中危漏洞130個、低危漏洞13個。漏洞平均分值為6.36。上周收錄的漏洞中，涉及0day漏洞75個（占31%），其中互聯網上出現“WAGO750-881 Ethernet Controller設備跨站腳本漏洞、WordPress插件tajer任意文件上傳漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft C SDK for Azure IoT是一款基于C語言的，用于開發Azure IoT（物聯網平臺）應用程序的軟件開發工具包。Edge是微軟操作系統附帶的默認瀏覽器。ChakraCore是使用在Edge中的一個開源的JavaScript引擎的核心部分，也可作為單獨的JavaScript引擎使用。上周，上述產品被披露存在遠程內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft ChakraCoreScripting Engine遠程內存破壞漏洞（CNVD-2018-21212、CNVD-2018-21236）、Microsoft Edge ChakraScripting Engine遠程內存破壞漏洞（CNVD-2018-21213、CNVD-2018-21216、CNVD-2018-21218、CNVD-2018-21219）、Microsoft Azure IoT DeviceClient SDK遠程內存破壞漏洞、Microsoft Edge ChakraScripting Engine遠程內存破壞漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco Wireless LANController（WLC）是一款無線局域網控制器產品。Cisco Identity ServicesEngine（ISE）是一款基于身份的環境感知平臺（ISE身份服務引擎）。Cisco WebexNetwork Recording Player和Webex Player都是用于播放視頻會議記錄的播放器。Cisco vEdge100 Series Routers等都是不同系列的路由器產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過證書檢測，提升權限，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Cisco WirelessLAN Controller Software GUI權限提升漏洞、Cisco Wireless LAN Controller Software目錄遍歷漏洞、Cisco WirelessLANController Software Control and Provisioning of Wireless Access PointsProtocol信息泄露漏洞、Cisco SD-WAN證書驗證安全繞過漏洞、Cisco Identity ServicesEngine WEB管理接口任意命令執行漏洞（CNVD-2018-21257、CNVD-2018-21258）、Cisco WebexNetwork Recording Player和Webex Player任意代碼執行漏洞、Cisco WebexNetwork Recording Player和Webex Player遠程代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Adobe產品安全漏洞

　　Adobe Acrobat是一套PDF文件編輯和轉換工具，Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼（越界寫入）。

　　CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader任意代碼執行漏洞（CNVD-2018-21091、CNVD-2018-21092、CNVD-2018-21093、CNVD-2018-21094、CNVD-2018-21095、CNVD-2018-21096、CNVD-2018-21097、CNVD-2018-21098）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iTunes for Windows是一款基于Windows平臺的媒體播放器應用程序。macOS Mojava是一套專為Mac計算機所開發的專用操作系統；tvOS是一套智能電視操作系統；watchOS是一套智能手表操作系統。上周，該產品被披露存在內存破壞和內存錯誤引用漏洞，攻擊者可利用漏洞執行任意代碼（內存破壞）。

　　CNVD收錄的相關漏洞包括：多款Apple產品Kernel內存破壞漏洞（CNVD-2018-20992）、多款Apple產品WebKit內存錯誤引用漏洞（CNVD-2018-20995、CNVD-2018-20996、CNVD-2018-20997、CNVD-2018-20998、CNVD-2018-20999、CNVD-2018-21000、CNVD-2018-21001）。上述漏洞的綜合評級為“高?！?。

　　Wecon PI Studio HMI和PI Studio緩沖區溢出漏洞

　　Wecon PI Studio HMI和PIStudio都是人機界面編程軟件。。上周，Wecon PI Studio HMI4.1.9和PI Studio被披露存在緩沖區溢出漏洞。遠程攻擊者可利用該漏洞執行代碼。

　　小結

　　上周，Microsoft被披露存在遠程內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。此外，Cisco、Adobe、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過證書檢測，提升權限，執行任意代碼（內存破壞）。另外，Wecon PI Studio HMI和PIStudio被披露存在緩沖區溢出漏洞。遠程攻擊者可利用該漏洞執行代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、21世紀經濟報道、新浪科技、cnBeta、安全牛、北京刑偵公眾號報道

責任編輯：韓希宇