國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞307個，互聯網上出現“libcroco拒絕服務漏洞（CNVD-2017-11760）、DNSTracer棧緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　國際反釣魚組織發布2016年釣魚活動報告

　　幾乎一半的惡意注冊是針對中國銀行或其他品牌的網絡釣魚幫派，占全球幾乎四分之一的網絡釣魚攻擊。這是從前幾年急劇下降，高達80％以上的惡意注冊針對中國網站。該報告指出：“用于瞄準非中國目標的惡意域名有巨大的增長。>>詳細

　　安全廠商發布APT攻擊混淆技術研究報告

　　在整個2017年，我們觀察到一系列有針對性的攻擊者使用命令行逃避和混淆的情況顯著增加。網絡間諜團體和金融威脅演員繼續采用最新的前沿應用白名單旁路技術，并將其引入到網絡釣魚誘騙中的創新混淆。>>詳細

　　西門子修補其工業產品Intel AMT漏洞

　　西門子修補了影響其工業產品的兩個關鍵漏洞。一個與最近披露的主動管理技術（AMT, 英特爾處理器的功能）的漏洞有關，可能會讓攻擊者獲得系統權限。另一個漏洞可能讓攻擊者上傳并執行任意代碼。>>詳細

　　研究者提出硬件混淆作為IoT的防御層

　　滲透測試Pen Test Partners的安全研究人員提出硬件混淆的想法，意在作為IoT的防御層，前提是混淆必須以低成本實現。其聲稱可以通過使用混淆來增加逆向工程師的分析時間，并警告說硬件混淆不提供安全性，僅作為一個額外的防御層。>>詳細

　　技術觀瀾

　　從支付架構到風控報警 支付系統的設計如何環環相扣？

　　企業所處發展階段不同，對支付系統的定位和架構也不盡相同。整體上來說，我們可以把一個公司的支付系統發展分為三個階段：支付系統、支付服務和支付平臺。>>詳細

　　加密軟件GnuPG曝出可破解RSA1024的漏洞

　　來自埃因霍溫技術大學，伊利諾伊大學，賓夕法尼亞大學，馬里蘭大學和阿德萊德大學的一組研究人員發現，libgcrypt庫使用的“從左到右滑動窗口”方法為了執行密碼學的數學，泄漏了更多關于指數位的信息，比從右到左泄漏，允許完全的RSA密鑰恢復。>>詳細

　　文檔型漏洞攻擊研究報告

　　漏洞文檔直接下載惡意程序是攻擊者使用的主要方式，占據68.5%，直接釋放惡意程序比例達到了24.1%。在含有偽裝內容的文檔中，跟經濟相關的文檔占據比例最大，達到了15.7%，其次為教育科研機構，占比達到9.6%。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年06月26日-2017年07月02日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞307個，其中高危漏洞104個、中危漏洞173個、低危漏洞30個。漏洞平均分值為5.94。上周收錄的漏洞中，涉及0day漏洞79個（占26%），其中互聯網上出現“libcroco拒絕服務漏洞（CNVD-2017-11760）、DNSTracer棧緩沖區溢出漏洞”等零日代碼攻擊漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數1466個，與上周（1336個）環比增長10%。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Office是美國微軟（Microsoft）公司開發的一款辦公軟件套件產品。Microsoft Edge是一款Windows 10操作系統附帶的默認瀏覽器。上周，上述產品被披露存在內存破壞和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：MicrosoftOffice遠程代碼執行漏洞（CNVD-2017-11786、CNVD-2017-11787、CNVD-2017-11788、CNVD-2017-11789、CNVD-2017-11790、CNVD-2017-11791）、Microsoft Edge遠程內存破壞漏洞（CNVD-2017-12092、CNVD-2017-12096）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。Qualcomm是使用在其中的一個設備專用的高通組件。上周，該產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　CNVD收錄的相關漏洞包括：Google AndroidQualcomm權限提升漏洞（CNVD-2017-11361、CNVD-2017-11362、CNVD-2017-11363、CNVD-2017-11364、CNVD-2017-11365、CNVD-2017-11366、CNVD-2017-11367、CNVD-2017-11368）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Cisco產品安全漏洞

　　Cisco IOS XR Software是美國思科（Cisco）公司的IOS軟件系列中的一套完全模塊化、分布式的網絡操作系統。Cisco PrimeCollaboration是綜合性視頻及聲音服務保障及管理系統。Cisco Ultra Services Framework是一個智能在線服務支付平臺。Cisco ElasticServices Controller是云及系統管理解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、泄露敏感信息、執行任意代碼或下載任意文件等。

　　CNVD收錄的相關漏洞包括：Cisco ElasticServices Controller安全限制繞過漏洞、Cisco Elastic ServicesController任意命令執行漏洞、Cisco IOS XR Software本地命令注入漏洞、Cisco IOS XRSoftware權限提升漏洞、Cisco Prime Collaboration Provisioning任意文件下載漏洞、Cisco UltraServices Framework Element Manager默認密碼漏洞、Cisco ElasticServices Controller信息泄露漏洞、Cisco Elastic Services Controller遠程命令執行漏洞。除“Cisco ElasticServices Controller信息泄露漏洞、Cisco Elastic Services Controller遠程命令執行漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Huawei產品安全漏洞

　　CHuawei nova、Y6 Pro等都是中國華為（Huawei）公司的智能手機設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限或執行任意代碼等。

　　CNVD收錄的相關漏洞包括：Huawei nova青春版手機權限提升漏洞、Huawei Y6 Prographics驅動內存泄露漏洞、Huawei Y6 Pro graphics驅動緩沖區溢出漏洞、華為手機TEE模塊Use After Free漏洞。其中“Huawei Y6 Prographics驅動緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Moxa AWK-3131A Wireless Access Point操作系統命令注入漏洞

　　Moxa AWK-3131A Wireless Access Point是中國摩莎（Moxa）公司的一款無線交換機。上周，Moxa被披露存在命令注入漏洞，攻擊者可利用漏洞控制受影響設備。目前，互聯網上已經出現了針對該漏洞的攻擊代碼，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Microsoft被披露存在內存破壞和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。此外，Google、Cisco、Huawei等多款產品被披露存在多個漏洞，攻擊者利用漏洞可繞過安全限制、提升權限、執行任意命令或泄露敏感信息等。另外，Moxa被披露存在命令注入漏洞，攻擊者可利用漏洞控制受影響設備。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合360社區、移動支付網、CFCA信息安全實驗室報道　　

責任編輯：韓希宇