國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞328個，互聯網上出現“ZTE Datacard MF190權限提升漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　Intel芯片架構中TEE的實現技術之SGX初探

　　SGX最早在2013年推出，主要是在計算機平臺上提供一個可信的空間（TEE），保障用戶關鍵代碼和數據的機密性和完整性 。>>詳細

　　開源軟件安全現狀分析報告

　　開源軟件中存在大量的安全隱患，企業在享受開源軟件帶來的便利的同時，也在承擔著巨大的安全風險。近年來，開源軟件頻繁爆出高危漏洞。這些組件很多都應用于信息系統的底層，并且應用范圍非常廣泛，因此漏洞帶來的安全危害非同一般。>>詳細

　　技術觀瀾

　　網聯架構設計的四個關鍵選擇

　　如何在這么短的時間里，從無到有地建設一個高質量的金融市場基礎設施，成為網聯建設者們必須要解決的一個問題。打仗時，兵馬未動，糧草先行，反映在平臺建設上就是架構先行。>>詳細

　　從兩次勒索病毒爆發聊聊計算機安全重要性

　　即便Windows 10系統相對來說已經更為安全，但是經過今年這兩次全球范圍的勒索病毒爆發事件，一方面我們不得不承認，系統的安全與威脅往往只隔著一層紗，或許一封偽裝過的電子郵件就可以將其輕易戳破。>>詳細

　　一個冷門類型混淆漏洞CVE-2017-0213的技術分析

　　“天下漏洞，唯冷不破”。CVE-2017-0213的無論從挖掘和利用，感覺都有些劍走偏鋒，正屬于這種比較冷門的一類。這種漏洞似乎難以通過fuzzing的方式來發現。通常這種漏洞的發現，需要對Windows的代碼非常熟悉。>>詳細

　　大量最新蘋果Mac仍可通過EFI固件漏洞入侵

　　EFI的運行優先于macOS操作系統的啟動，并且EFI擁有更高等級的權限。如果攻擊者可以利用EFI固件漏洞的話，他們將能夠利用EFI惡意軟件來控制目標計算機，而且還不會被安全防護產品所檢測到。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年09月25日-2017年10月08日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞328個，其中高危漏洞119個、中危漏洞184個、低危漏洞25個。漏洞平均分值為6.10。上周收錄的漏洞中，涉及0day漏洞60個（占18%），其中互聯網上出現“ZTE Datacard MF190權限提升漏洞”零日代碼攻擊漏洞。此外，上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數2028個。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Windows 10是美國微軟（Microsoft）公司發布的一套操作系統。Microsoft Edge是其中的一款系統附帶的Web瀏覽器。上周，該產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft Edge內存破壞漏洞（CNVD-2017-28323、CNVD-2017-28324、CNVD-2017-28646、CNVD-2017-28647、CNVD-2017-28650、CNVD-2017-28651、CNVD-2017-28652、CNVD-2017-28654）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Tcpdump產品安全漏洞

　　Tcpdump是Tcpdump團隊開發的一套運行在命令行下的嗅探工具。BGP parser是其中的一個邊界網關協議解析器。IPv6 mobilityparser是其中的一個IPv6 mobility解析器。ISO IS-IS parser是其中的一個路由協議解析器。上周，該產品被披露存在堆緩沖區溢出漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Tcpdump BGP解析器緩沖區溢出漏洞（CNVD-2017-28240、CNVD-2017-28247、CNVD-2017-28250）、Tcpdump IPv6mobility解析器緩沖區溢出漏洞（CNVD-2017-28284、CNVD-2017-28285）、Tcpdump ISOIS-IS解析器緩沖區溢出漏洞、Tcpdump ISO IS-IS解析器緩沖區溢出漏洞（CNVD-2017-28238、CNVD-2017-28274）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Oracle產品安全漏洞

　　Oracle PeopleSoftProducts是美國甲骨文公司的一套企業人力資本管理解決方案。Java SE是用于開發和部署桌面、服務器以及嵌入設備和實時環境中的Java應用程序，Java SEEmbedded是一款針對嵌入式系統開發功能的應用程序的Java平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未授權讀取、更新、插入或刪除數據，影響數據的保密性、可用性和完整性。

　　CNVD收錄的相關漏洞包括：Oracle Java SE和Java SEEmbedded存在未明漏洞（CNVD-2017-28398、CNVD-2017-28399、CNVD-2017-28400、CNVD-2017-28402、CNVD-2017-28403）、OraclePeopleSoft Enterprise PRTL Interaction Hub未授權操作漏洞（CNVD-2017-28221、CNVD-2017-28370、CNVD-2017-28378）。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Adobe產品安全漏洞

　　Adobe Experience Manager是美國Adobe公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。Adobe Reader是PDF文檔閱讀軟件。Acrobat是PDF文檔編輯軟件。Adobe FlashPlayer是一款跨平臺、基于瀏覽器的多媒體播放器產品。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、執行任意代碼或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：AdobeAcrobat/Reader安全繞過漏洞（CNVD-2017-28430）、Adobe Acrobat/Reader內存破壞漏洞（CNVD-2017-28443）、AdobeAcrobat/Reader遠程代碼執行漏洞（CNVD-2017-28431、CNVD-2017-28433、CNVD-2017-28434、CNVD-2017-28435）、AdobeExperience Manager任意代碼執行漏洞、Adobe Flash Player類型混淆遠程執行代碼漏洞。除“AdobeAcrobat/Reader安全繞過漏洞（CNVD-2017-28430）、Adobe Acrobat/Reader內存破壞漏洞（CNVD-2017-28443）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　finecms SQL注入漏洞（CNVD-2017-28415）

　　FineCMS是一款基于PHP+MySql+CI框架開發的建站系統。上周，FineCMS被披露存在SQL注入漏洞，遠程攻擊者可利用漏洞操作網站數據庫。目前，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Microsoft被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。此外，Tcpdump、Oracle、Adobe多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、執行任意代碼或發起拒絕服務攻擊等。另外，FineCMS被披露存在SQL注入漏洞，遠程攻擊者可利用漏洞操作網站數據庫。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合金融電子化、FreeBuf.COM、中關村在線、蘭云科技銀河實驗室、微信公眾號“安智客”報道　　

責任編輯：韓希宇