國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞157個，互聯網上出現“CERIODT-100G-N/DT-300N/CW-300N存在多個漏洞、D-Link DIR-600M身份驗證繞過漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　5個問題快速讀懂今起實施的《網絡安全法》

　　網絡產品和服務提供者的安全義務，以及網絡運營者的安全義務都是對企業安全提出的要求，或者說對互聯網及有互聯網業務的企業而言提出了基本的安全需求。比如對企業安全資質、內部技術、安全制度作具體規定。>>詳細

　　安全廠商發布金融威脅綜述分析報告

　　金融風暴仍然是有利可圖的，因此在網絡罪犯中繼續受到歡迎。從攻擊網上銀行的金融特洛伊木馬，對ATM的攻擊，銷售點（POS）機器和欺詐性的同業間交易來說，犯罪分子有許多不同的攻擊方式。>>詳細

　　Chrome漏洞可致惡意站點在用戶在不知情的情況下錄制音頻和視頻

　　HTML5中的新API讓網站可以直接從瀏覽器獲取視頻和音頻。通過WebRTC協議，瀏覽器不需要安裝插件就能向網站提供麥克風錄音及攝像頭視頻。為了保護隱私讓用戶免于被竊聽的困擾，瀏覽器的開發者們使用了兩個辦法。>>詳細

　　網絡戰爭法則塔林手冊推出2.0版本

　　隨著魔窟（WannaCry）和使用網絡攻擊干涉國家政治等事件使世界各地變得混亂，針對網絡空間法律法規的書籍“塔林手冊”2.0的出版顯得十分及時。>>詳細

　　技術觀瀾

　　電子支付領域密碼算法與安全技術趨勢研究

　　電子支付在金融活動中占據越來越重要的位置，并呈現爆發性增長趨勢，而隨著電子支付帶來的新的特殊屬性與計算機技術的升級，使電子支付系統面臨著攻擊頻率更高、破壞性更大、影響范圍更廣等諸多安全威脅。>>詳細

　　車網互聯下的汽車信息安全防護技術與實踐

　　車聯網的發展被提升至國家戰略層面的高度，汽車的網絡化、智能化、交互化程度逐步提高，人們對于網聯汽車的認知度越來越高，對車聯網的應用產生了認同感。而利用車聯網的漏洞，對行駛中的汽車實施攻擊的事件也層出不窮。>>詳細

　　6大原因令芯片成黑客攻擊新目標

　　最近的英特爾固件漏洞反映出一個事實：固件和芯片也能被黑。它們，或者說與之相關的控制芯片，像軟件一樣包含有帶脆弱安全漏洞的指令。而且，固件和芯片更難以更新。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年05月29日-2017年06月04日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞157個，其中高危漏洞54個、中危漏洞95個、低危漏洞8個。漏洞平均分值為6.23。上周收錄的漏洞中，涉及0day漏洞16個（占10%），其中互聯網上出現“CERIODT-100G-N/DT-300N/CW-300N存在多個漏洞、D-Link DIR-600M身份驗證繞過漏洞”等零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數766個，與上周（561）環比增長37%。

　　上周重要漏洞安全告警

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器；tvOS是一套智能電視操作系統。WebKit是KDE社區開發的一套開源Web瀏覽器引擎；watchOS是一套智能手表操作系統；AVEVideoEncoder是其中的一個視頻編碼器。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意的代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：多款Apple產品WebKit組件內存破壞漏洞（CNVD-2017-07721、CNVD-2017-07722、CNVD-2017-07723、CNVD-2017-07724、CNVD-2017-07725）、多款Apple產品AVEVideoEncoder組件內存破壞漏洞（CNVD-2017-07726、CNVD-2017-07727、CNVD-2017-07728）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Cisco產品安全漏洞

　　Cisco Remote ExpertManager Software是美國思科（Cisco）公司的的一款遠程管理軟件，Cisco PrimeCollaboration是綜合性視頻及聲音服務保障及管理系統。上周，上述產品被披露存在目錄遍歷、拒絕服務和信息泄露漏洞，攻擊者可利用漏洞泄露敏感信息或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Cisco PrimeCollaboration Provisioning目錄遍歷漏洞、Cisco Prime Collaboration Provisioning目錄遍歷任意文件刪除漏洞、Cisco RemoteExpert Manager拒絕服務漏洞、Cisco Remote Expert Manager臨時文件信息泄露漏洞、Cisco RemoteExpert Manager信息泄露漏洞、Cisco Remote Expert Manager信息泄露漏洞（CNVD-2017-08157、CNVD-2017-08155）、Cisco RemoteExpert Manager虛擬目標信息泄露漏洞。其中“Cisco Prime Collaboration Provisioning目錄遍歷漏洞、Cisco PrimeCollaboration Provisioning目錄遍歷任意文件刪除漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Oracle產品安全漏洞

　　Oracle PeopleSoftProducts是美國甲骨文（Oracle）公司的一套企業人力資本管理解決方案。Oracle HospitalityApplications是一套用于酒店管理的業務應用程序、服務器和存儲解決方案。Oracle UtilitiesApplications是一套為電氣、燃氣和水務等公司提供運營應用和云服務的解決方案。Oracle CommunicationsSecurity Gateway為語音和數據的傳輸提供安全保障。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的完整性、保密性和可用性。

　　CNVD收錄的相關漏洞包括：OracleAutomatic Service Request本地漏洞（CNVD-2017-08075）、OracleCommunications Security Gate way遠程漏洞、Oracle Hospitality OPERA 5 PropertyServices遠程漏洞（CNVD-2017-08076、CNVD-2017-08077）、OraclePeopleSoft Enterprise SCM Service Procurement遠程漏洞、OraclePeopleSoft Products PeopleSoft Enterprise SCM Purchasing遠程漏洞、OracleReal-Time Scheduler遠程漏洞。其中“Oracle Automatic ServiceRequest本地漏洞（CNVD-2017-08075）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Trend MicroDeep Security存在多個漏洞

　　Trend Micro Deep Security是一種在虛擬、云計算和傳統的數據中心環境之間統一安全性的服務器和應用程序防護軟件。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息，提升權限或執行任意代碼。

　　CNVD收錄的相關漏洞包括：Trend MicroDeep Security存在多個漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　WordPress Powerplay Gallery插件文件上傳漏洞

　　WordPress是WordPress軟件基金會的一套使用PHP語言開發的博客平臺。上周，WordPress被披露存在文件上傳漏洞，攻擊者可利用漏洞創建任意目錄。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Apple被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意的代碼或發起拒絕服務攻擊。此外，Cisco 、Oracle、Trend Micro等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、泄露敏感信息、提升權限或發起拒絕服務攻擊等。另外，Wordpress被披露存在文件上傳漏洞，攻擊者可利用漏洞創建任意目錄。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合FreebuF.COM、移動支付網、51CTO、安全牛報道

責任編輯：韓希宇