中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞135個，互聯網上出現“Piwik遠程代碼執行漏洞、WordPress插件Flash RotatorGallery SQL注入漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　一周行業要聞速覽

　　如何從黑客的角度看《人民的名義》？

　　SIM卡在入網后都會與基站保持連接狀態，即便此刻沒有發起通話。手機的通信芯片還會不停地測量手機附近幾個基站的信號強度，自動連接到信號最強的基站上。每個基站都有自己的小區編號，因此通過基站定位就可以查到手機的位置信息。>>詳細

　　基帶0day漏洞可攻擊數百萬部華為手機

　　攻擊者可以通過基帶漏洞監聽手機通信，撥打電話，發送短信，或者進行大量隱蔽，不為人知的通信。Weinmann概述了Kirin應用處理器中發現的幾個基帶漏洞，并將其作為一個新的值得安全社區關注的易受攻擊的例子。>>詳細

　　谷歌發現了一個潛伏了三年的Android間諜程序

　　安全研究專家發現了一款非常復雜的Android間諜軟件，它不僅可以從手機的聊天軟件中竊取用戶的隱私數據，還可以通過手機的攝像頭和麥克風來監視用戶的一舉一動。更重要的是，它還可以進行自毀操作，而正是由于這款間諜軟件擁有非常智能的自毀機制，因此它在三年之后的今天才被研究人員發現。>>詳細

　　“無文件”惡意軟件的威力：悄無聲息一夜之間從ATM機中竊取80萬美元

　　有一群黑客將目標瞄準了俄羅斯的至少8臺ATM，一夜之間就竊取了80萬美元。但是攻擊者使用的方法卻非常奇幻。監控顯示一個黑客走向ATM機，甚至都沒有觸碰機器就把現金取了出來。>>詳細

　　三星產品操作系統Tizen被曝存在40多個0day漏洞

　　維基解密曝光了由CIA和MI5共同開發的針對三星智能電視的木馬植入工具組件“哭泣天使”，該工具涉及多個老版本的三星智能電視，并且需要物理USB接觸才能實現攻擊。而根據目前Neiderman所發現的0day漏洞來看，三星產品的安全狀況比想像中更糟糕更嚴重。>>詳細

　　網絡悍匪劫持巴西網銀長達5小時 數百萬用戶中招

　　在研究初期，此次攻擊看上去就是普通的網站劫持，但是兩位研究者發現事情并沒有這么簡單。他們認為犯罪分子使用的攻擊很復雜，并不只是單純的釣魚。攻擊者用上了有效的SSL數據證書，并且還用Google Cloud來提供欺詐銀行服務支持。>>詳細

　　大數據下全球撞庫黑色產業鏈追蹤報告

　　中國人看事物，都習慣分個陰陽。往往明面上有多么繁榮，暗地里就有多么猖獗。記得年初看到一份報告《Bot Traffic Report 2016》，報告稱2016年機器人流量占全網流量的51.8%，超過人類流量，而其中惡意機器人流量占據了全網流量的28.9%。>>詳細

　　量子危機下區塊鏈只有死路一條？格鏈/格密碼笑了

　　量子計算機之所以比傳統電子計算機具有超強的本領，主要是因為它使用的是可疊加的量子單位比特即量子位，在處理數據時量子位可以同時處于0和1兩個狀態，這是由量子疊加特性決定的。>>詳細

　　安全漏洞周報

　　上周漏洞基本情況

　　上周（20170403-20170409）信息安全漏洞威脅整體評價級別為中。

　　上周共收集、整理信息安全漏洞135個，其中高危漏洞51個、中危漏洞63個、低危漏洞21個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞39個（占29%），其中互聯網上出現“Piwik遠程代碼執行漏洞、WordPress插件Flash RotatorGallery SQL注入漏洞”零日代碼攻擊漏洞。此外，上周涉及黨政機關和企事業單位的事件型漏洞總數641個，與上周（1119個）環比下降43%。

　　上周重要漏洞安全告警

　　一、境外廠商產品漏洞

　　1、Microsoft產品安全漏洞

　　1、Cisco產品安全漏洞

　　Cisco IOS、Cisco IOxSoftware和IOS XE Software都是美國思科公司為其網絡設備開發的操作系統。Cisco Mobility Express1800 Access Points是基于Mobility Express解決方案的無線產品。Cisco WirelessLAN Controller是一款無線局域網控制器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、執行任意代碼或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：Cisco IOS DHCP拒絕服務漏洞、Cisco IOS XESoftware L2TP報文拒絕服務漏洞、Cisco IOS XE Software for Cisco ASR 920 SeriesRouters拒絕服務漏洞、多個Cisco產品棧緩沖區溢出漏洞、Cisco IOS和IOS XESoftware ANI IPv6報文拒絕服務漏洞、Cisco IOS和IOS XESoftware ANI注冊功能拒絕服務漏洞、Cisco Mobility Express 1800 Access Point Series身份驗證繞過漏洞、Cisco WirelessLAN Controller遠程安全繞過漏洞。除“Cisco IOS和IOS XE Software ANI注冊功能拒絕服務漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　2、Google產品安全漏洞

　　Android是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。Audioserver是其中的一個音頻服務器軟件。Qualcomm SPComDriver是其中的一個串口通信驅動組件。Android on Nexus 9是一套運行于Nexus 9（平板電腦）中并以Linux為基礎的開源操作系統。kernel FIQdebugger是其中的一個內核調試器組件。上周，上述產品被披露存在權限提升和遠程代碼執行漏洞，攻擊者可利用漏洞提升權限或遠程執行任意代碼。

　　CNVD收錄的相關漏洞包括：Google AndroidAudioserver權限提升漏洞（CNVD-2017-03891、CNVD-2017-03890）、Google AndroidQualcomm SPCom驅動程序遠程代碼執行漏洞、Google Nexus Kernel FIQ Debugger特權提升漏洞、Google Androidlibgdx遠程代碼執行漏洞（CNVD-2017-03885）、Google AndroidFramesequence Library遠程代碼執行漏洞（CNVD-2017-03886）。其中“Google AndroidAudioserver權限提升漏洞（CNVD-2017-03891、CNVD-2017-03890）、Google NexusKernel FIQ Debugger特權提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、Cisco產品安全漏洞

　　Microsoft產品安全漏洞

　　Microsoft Skype是美國微軟（Microsoft）公司的一套即時通訊軟件。MicrosoftWindows是一系列操作系統。Hyper-V是其中的一款虛擬化產品。MicrosoftSharePoint Server是一個服務器功能集成套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息、遠程執行任意代碼和發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：MicrosoftSkype DLL加載本地代碼執行漏洞、Microsoft Windows Hyper-V遠程代碼執行漏洞（CNVD-2017-03849、CNVD-2017-03852）、MicrosoftWindows Hyper-V信息泄露漏洞、Microsoft Windows Hyper-V拒絕服務漏洞（CNVD-2017-03851）、Microsoft XMLCore Services信息泄露漏洞（CNVD-2017-03862）、Microsoft SharePointServer跨站腳本漏洞（CNVD-2017-04008）。其中“MicrosoftSkype DLL加載本地代碼執行漏洞、Microsoft Windows Hyper-V遠程代碼執行漏洞（CNVD-2017-03849、CNVD-2017-03852）”的綜合評級為“高?！?。目前，廠商已經發布了除“MicrosoftSkype DLL加載本地代碼執行漏洞”外漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　4、ImageMagick產品安全漏洞

　　ImageMagick是美國ImageMagickStudio公司的一套開源的圖象處理軟件。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：ImageMagickmagick/cache.c文件拒絕服務漏洞、ImageMagick xpm文件拒絕服務漏洞、ImageMagick'coders/tiff.c'文件拒絕服務漏洞、ImageMagick任意命令執行漏洞、ImageMagick整數溢出漏洞（CNVD-2017-03840）、ImageMagick拒絕服務漏洞（CNVD-2017-03843、CNVD-2017-03844）、ImageMagick內存破壞漏洞（CNVD-2017-03842）。其中，“ImageMagick任意命令執行漏洞、ImageMagick內存破壞漏洞（CNVD-2017-03842）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　5、三星TiZen系統存在多個高危漏洞

　　Tizen（泰澤）是兩大Linux聯盟LiMo Foundation和Linux Foundation 整合資源優勢，攜手英特爾和三星電子，共同開發的一個開源的、標準化的基于Linux的操作系統。上周，三星TiZen系統被披露存在多個漏洞，攻擊者可利用漏洞通過Tizen Store軟件獲取設備上的root權限并完全控制電視。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　專家點評和建議

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：上周，Cisco被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、執行任意代碼或發起拒絕服務攻擊等。此外，Gooole、Microsoft、ImageMagick等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、泄露敏感信息、提升權限或發起拒絕服務攻擊等。另外，三星TiZen系統被披露存在多個漏洞，攻擊者可利用漏洞通過Tizen Store軟件獲取設備上的root權限并完全控制電視。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　?。ㄖ袊娮鱼y行網綜合FreeBuf、E安全、嘶吼RoarTalk、CNNVD、安在、區塊鏈鉛筆報道）　　

責任編輯：韓希宇