中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞254個，互聯網上出現“OIC ExponentCMS SQL 注入漏洞（CNVD-2017-01280）、NewsBee CMS SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　一周信息安全要聞速覽

　　習近平：提高網絡安全保障水平 加大核心技術研發力度

　　要筑牢網絡安全防線，提高網絡安全保障水平，強化關鍵信息基礎設施防護，加大核心技術研發力度和市場化引導，加強網絡安全預警監測，確保大數據安全，實現全天候全方位感知和有效防護。>>詳細

　　RSA 2017總結: 九大趨勢影響安全未來

　　RSA CTO ZulfikarRamzan在題為“為混亂而規劃”主題演講中表示，隨著安全日益成為業務問題，安全產業正從技術角度關注安全轉向業務角度。安全專家認為，安全從IT驅動轉向BT（Business technology）驅動，從之前關注基礎架構等轉向關注業務安全，這也從另一個側面說明安全越來越重要。>>詳細

　　RSA 2017：FBI網絡部門正在開發預測性警務工具

　　預測性警務是一個廣泛的術語，用來描述執法機構預測犯罪活動的能力。在網絡空間，這類技術可以幫助警官在數據泄露事件和其它非法互聯網活動發生之前，查明真相。>>詳細

　　2016年每秒出現6個新病毒 近500萬臺電腦遭強制加密勒索

　　值得警惕的是，網頁掛馬利用廣告聯盟再次大規?；钴S，正規網站甚至使用影音播放器等客戶端都頻繁發生廣告掛馬事件，加密文件敲詐錢財的勒索軟件成為新興的“病毒之王”。>>詳細

　　《工業大數據白皮書》在京正式發布

　　《工業大數據白皮書》由中國電子技術標準化研究院聯合全國信標委大數據標準工作組、中國智能制造系統解決方案供應商聯盟、中國開放對象標識（OID）應用聯盟，以及30家企事業單位共同編制。>>詳細

　　Fortinet全球安全戰略官：關于威脅情報共享的五點看法

　　信息共享仍然是全球網絡安全中永恒的重要話題。作為一個行業，我們應該明白遏制網絡犯罪的勢頭需要在網絡、邊界和供應商之間共享可執行威脅情報信息。>>詳細

　　安全漏洞周報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞254 個，其中高危漏洞106 個、中危漏洞127 個、低危漏洞21 個。漏洞平均分值為6.13。上周收錄的漏洞中，涉及0day 漏洞57 個（占22%）。其中互聯網上出現“OIC ExponentCMS SQL 注入漏洞（CNVD-2017-01280）、NewsBee CMS SQL注入漏洞”等零日代碼攻擊漏洞，請使用相關產品的用戶注意加強防范。

　　上周重要漏洞安全告警

　　上周，整理和發布以下重要安全漏洞信息。

　　1、Google 產品安全漏洞

　　Android 是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux 為基礎的開源操作系統。上周，該產品被披露存在權限提升漏洞，攻擊者可利用漏洞以提升的權限執行任意代碼。

　　相關漏洞包括：Google AndroidQualcomm Wi-Fi driver 權限提升漏洞（CNVD-2017-01426、CNVD-2017-01395、CNVD-2017-01396、CNVD-2017-01397）、Google AndroidAudioserver 權限提升漏洞（CNVD-2017-01452、CNVD-2017-01453、CNVD-2017-01454、CNVD-2017-01455）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　2、IBM 存在產品安全漏洞

　　IBM Security AccessManager 是美國IBM 公司的一款安全訪問管理器。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息、注入任意代碼或發起跨站腳本攻擊等。

　　相關漏洞包括：IBM SecurityAccess Manager 信息泄露漏洞（CNVD-2017-01413、CNVD-2017-01412、CNVD-2017-01305、CNVD-2017-01307）、IBM SecurityAccess Manager 任意代碼注入漏洞、IBM Security Access Manager 跨站請求偽造漏洞（CNVD-2017-01308）、IBM SecurityAccess Manager XML 外部注入漏洞、IBM AIX 本地權限提升漏洞（CNVD-2017-01334），其中，“IBM SecurityAccess Manager XML 外部注入漏洞、IBM AIX 本地權限提升漏洞（CNVD-2017-01334）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、Joomla 產品多款組件安全漏洞

　　Joomla 是一款開放源碼的內容管理系統(CMS)。上周，上述產品被披露存在SQL 注入漏洞，攻擊者可利用漏洞訪問或修改數據庫數據。

　　相關漏洞包括：Joomla JE Tour 組件SQL 注入漏洞、Joomla JEauction 組件SQL注入漏洞、Joomla Hbooking 組件SQL 注入漏洞、Joomla JE Quiz 組件SQL 注入漏洞、Joomla JE Auto 組件SQL 注入漏洞、JoomlaSoccer Bet 組件SQL 注入漏洞、Joomla onisQuotes 組件SQL 注入漏洞、JoomlaonisMusic 組件SQL 注入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商尚未發布該漏洞的修補程序。在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　4、GStreamer 產品安全漏洞

　　GStreamer 是一個開源的多媒體框架。上周，該產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞發起拒絕服務攻擊。

　　相關漏洞包括：GStreamergst_avi_demux_parse_ncdt 函數拒絕服務漏洞、GStreamergst_riff_create_audio_caps 函數拒絕服務漏洞、GStreamergst-plugins-good 拒絕服務漏洞（CNVD-2017-01450、CNVD-2017-01451、CNVD-2017-01486）、GStreamergst-plugins-base 拒絕服務漏洞、GStreamer 拒絕服務漏洞（CNVD-2017-01488）、GStreamergst-plugins-good 拒絕服務漏洞。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　5、Cisco Adaptive Security Appliance CX Context-Aware Security 拒絕服務漏洞

　　Cisco Adaptive Security Appliance CX Context-Aware Security 是美國思科（Cisco）公司的一款用于擴展ASA 平臺的附加服務模塊。上周，Cisco 被披露存在拒絕服務漏洞。攻擊者可利用漏洞造成拒絕服務。目前，廠商尚未發布該漏洞的修補程序。在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　專家點評和建議

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：上周，Google 被披露存在權限提升漏洞，攻擊者可利用漏洞以提升的權限執行任意代碼。此外， IBM、Joomla、GStreamer 等多款產品被披露存在多個漏洞，攻擊者利用漏洞可泄露敏感信息、注入任意代碼或發起拒絕服務攻擊等。另外，Cisco 被披露存在拒絕服務漏洞。攻擊者可利用漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇