國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞335個，互聯網上出現“HelpDEZk SQL注入漏洞、WordPress FormCraft Basic插件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　藍牙協議曝8個嚴重安全漏洞

　　只要你的設備打開了藍牙，并且在黑客設備的藍牙連接范圍內，黑客就能實施攻擊，甚至不需要成功連接。>>詳細

　　軟件供應鏈來源攻擊分析報告

　　2017年8月，非常流行的遠程終端管理軟件 Xshell 被發現植入了后門代碼，導致大量使用此款工具的用戶泄露主機相關的敏感信息。>>詳細

　　技術觀瀾

　　IoT設備固件分析教程之固件是怎么存儲的

　　設備固件的安全是構建物聯網設備安全的基礎環節，它的安全問題將影響到整個系統。在真實的Hacking場景中，我們常常需要提取固件，將其解壓縮，以便對操作系統和應用程序進行逆向和安全審計。>>詳細

　　典型的基于堆棧的緩沖區溢出

　　緩沖區溢出有兩種類型：1、基于堆棧的緩沖區溢出，這里的目標緩沖區位于堆棧中；2、基于堆的緩沖區溢出，這里的目標緩沖區位于堆中。>>詳細

　　浙江大學研究人員發現超聲波控制語音助手實現遠程入侵

　　浙江大學的六名科學家發現，他們可以使用超聲波頻率這種人耳無法聽見的聲音，對那些語音助手軟件發送指令，從而接管手機、智能家居、甚至是汽車。而且這種攻擊方式不需要接觸手機。>>詳細

　　全能無線滲透測試工具 一個LAZY就搞定了

　　該腳本可以自動執行有關Wi-Fi穿透和黑客攻擊的絕大部分應用程序，同時它還集合了大量不同類型的攻擊程序，可謂是集眾家之長于一身。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年09月04日-2017年09月10日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞335個，其中高危漏洞94個、中危漏洞213個、低危漏洞28個。漏洞平均分值為5.73。上周收錄的漏洞中，涉及0day漏洞124個（占37%），其中互聯網上出現“HelpDEZk SQL注入漏洞、WordPress FormCraft Basic插件SQL注入漏洞”等零日代碼攻擊漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數1326個，與上周（1641個）環比減少19%。

　　上周重要漏洞安全告警

　　Apache產品安全漏洞

　　Struts2 是Apache軟件基金會負責維護的一個基于MVC設計模式的Web應用框架開源項目。上周，該產品被披露存在S2-052、S2-053遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Apache Struts2REST插件遠程代碼執行漏洞、Apache Struts2 S2-053遠程代碼執行漏洞。其中“Apache Struts2REST插件遠程代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Google產品安全漏洞

　　Android是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。Qualcommclosed-source components是其中的一個美國高通公司開發的閉源組件。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Google AndroidQualcomm組件緩沖區溢出漏洞（CNVD-2017-25677、CNVD-2017-25678、CNVD-2017-25679、CNVD-2017-25680、CNVD-2017-25681、CNVD-2017-25682、CNVD-2017-25683、CNVD-2017-25684）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Adobe產品安全漏洞

　　Adobe Reader/Acrobat是一款流行的處理PDF文件的應用程序。上周，該產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：AdobeAcrobat/Reader內存破壞漏洞（CNVD-2017-25776、CNVD-2017-25777、CNVD-2017-25778、CNVD-2017-25779、CNVD-2017-25780、CNVD-2017-25781、CNVD-2017-25782、CNVD-2017-25783）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Smiths Medical產品安全漏洞

　　Medfusion 4000 WirelessSyringe Infusion Pump是用于在急性護理環境中提供小劑量藥物的注射器輸液泵。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、讀取內存數據或執行任意代碼等。

　　CNVD收錄的相關漏洞包括：Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump緩沖區溢出漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump密碼泄露漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump內存讀取漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump身份驗證繞過漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump硬編碼漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump硬編碼漏洞（CNVD-2017-25719）、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump硬編碼密碼漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump中間人攻擊漏洞。除“Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump密碼泄露漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump內存讀取漏洞、Smiths MedicalMedfusion 4000 Wireless Syringe Infusion Pump硬編碼密碼漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　National Instruments LabVIEW內存破壞漏洞

　　National Instruments LabVIEW是美國國家儀器公司的一套系統設計平臺。上周，NationalInstruments被披露存在內存破壞漏洞，攻擊者可利用漏洞造成拒絕服務。目前，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Apache被披露存在S2-052、S2-053遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。此外，Adobe、Google、Smiths Medical等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、讀取內存數據、執行任意代碼或發起拒絕服務攻擊等。另外，National Instruments被披露存在內存破壞漏洞，攻擊者可利用漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合FreeBuf.COM、安全客、看雪社區報道

責任編輯：韓希宇