國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞534個，互聯網上出現“iTech Gigs Script SQL注入漏洞、Vastal I-Tech Agent ZoneSQL注入漏洞”零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　國產SM2與SM9數字簽名標準上升為國際標準

　　10月30日至11月3日，第55次ISO/IEC信息安全分技術委員會(SC27)會議在德國柏林召開。我國SM2與SM9數字簽名算法一致通過為國際標準，正式進入標準發布階段，這也是本次SC27會議上密碼與安全機制工作組通過的唯一進入發布階段的標準項目。>>詳細

　　半導體產業高景氣 國產替代進入黃金時代

　　隨著摩爾定律演進速度放緩，集成電路產業發展將從技術驅動走向應用驅動。2017年ISSCC的主題是Intelligent Chips for A Smart World，從中可以看出物聯網和人工智能是集成電路未來的發展方向。未來半導體新增長點主要來自：物聯網、智能汽車、VR/AR、5G、人工智能等應用。>>詳細

　　英媒：中國取代美國成為世界擁有超級計算機數量最多的國家

　　中國目前擁有202個全球最高性能計算機。相比之下美國只有143個，這是美方自25年前調查研究開始以來的最低水平，但仍保持第二位。日本擁有35個超級計算機位列第三，德國有20個排名第四。>>詳細

　　中國人工智能標準化體系建設提速

　　所謂智能化分級，就是對人工智能產品的智能水平進行評估。以智能音箱為例，評估其智能水平將在不同的應用場景下，檢測音箱的感知能力、交互能力等，考慮如語音喚醒的靈敏度、準確度，語音理解等指標。>>詳細

　　技術觀瀾

　　如何跨虛擬機實現Row Hammer攻擊和權限提升

　　如果他們知道私密文件的內容，那么他們可以利用比特翻轉來加載私密文件（比如authorized_keys），并通過削弱authorized_keys文件中的RSA模塊，他們能夠生成相應的私鑰并在共同托管的受害者VM上進行身份驗證。>>詳細

　　Intel芯片架構中TEE的實現技術之SGX開發環境簡介及搭建

　　SGX的保護是針對應用程序的地址空間的。SGX利用處理器提供的指令，在內存中劃分處一部分區域（EPC）并將應用程序地址空間中的Enclave映射到這部分內存區域。這部分內存區域是加密的，通過CPU中的內存控制單元進行加密和地址轉化。>>詳細

　　PostMessage跨域漏洞

　　總體的思路就是站點監聽著一個message，并且沒有判斷message的來源，導致可以給他發message，message中有websocket的url的話，站點會和發送message的站點建立websocket鏈接，兵器會把認證后的token傳遞給發送者站點。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年11月06日-2017年11月12日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞534個，其中高危漏洞153個、中危漏洞333個、低危漏洞48個。漏洞平均分值為5.93。上周收錄的漏洞中，涉及0day漏洞71個（占13%），其中互聯網上出現“iTech Gigs Script SQL注入漏洞、Vastal I-Tech Agent ZoneSQL注入漏洞”零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數638個，與前周（832個）環比下降23%。

　　上周重要漏洞安全告警

　　Apple產品安全漏洞

　　Apple iOS等都是美國蘋果（Apple）公司的產品。Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iCloud forWindows是一款基于Windows平臺的云服務。WebKit是其中的一個Web瀏覽器引擎組件。上周，上述產品被披露存在遠程代碼執行和內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：多款Apple產品WebKit組件遠程代碼執行漏洞（CNVD-2017-33557、CNVD-2017-33558、CNVD-2017-33559、CNVD-2017-33560、CNVD-2017-33561、CNVD-2017-33562）、多款Apple產品WebKit組件內存破壞漏洞（CNVD-2017-32835、CNVD-2017-32836）。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Google產品安全漏洞

　　Android是美國谷歌公司的一套以Linux為基礎的開源操作系統。Mediaframework是其中的一個用于多媒體開發框架。Broadcom Wi-Fi driver是其中的一個Wi-Fi驅動模塊。上周，上述產品被披露存在權限提升和拒絕服務漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Google AndroidBroadcom wifi權限提升漏洞、Google Android HTC bootloader權限提升漏洞（CNVD-2017-32979）、Google AndroidHuawei bootloader權限提升漏洞、Google Android Media Framework拒絕服務漏洞（CNVD-2017-33337、CNVD-2017-33338、CNVD-2017-33339）、Google AndroidMediaTek soc driver權限提升漏洞、Google Android Motorola bootloader權限提升漏洞（CNVD-2017-32984）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　Linux產品安全漏洞

　　Linux kernel是美國Linux基金會發布的操作系統Linux所使用的內核。上周，該產品被披露存在本地拒絕服務漏洞，攻擊者可利用漏洞發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Linux kernel本地拒絕服務漏洞（CNVD-2017-33091、CNVD-2017-33092、CNVD-2017-33093、CNVD-2017-33094、CNVD-2017-33095、CNVD-2017-33096、CNVD-2017-33097、CNVD-2017-33098）。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　產品安全漏洞

　　HP Intelligent ManagementCenter（IMC）是一個從底層構建的綜合管理平臺。上周，該產品被披露存在任意代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：HP IntelligentManagement Center任意代碼執行漏洞（CNVD-2017-33288、CNVD-2017-33289、CNVD-2017-33290、CNVD-2017-33529、CNVD-2017-33530、CNVD-2017-33531、CNVD-2017-33532、CNVD-2017-33533）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Samsung NVR設備密碼泄露漏洞

　　Samsung NVR devices是韓國三星（Samsung）公司的一款網絡視頻錄像機設備。上周，Samsung被披露存在密碼泄露漏洞，遠程攻擊者可利用該漏洞讀取管理員賬戶的MD5密碼散列，并登錄設備。目前，廠商尚未發布漏洞修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　小結

　　上周，Apple被披露存在遠程代碼執行和內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。此外，Google、Linux、HP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限、執行任意代碼或發起拒絕服務攻擊等。另外，Samsung被披露存在密碼泄露漏洞，遠程攻擊者可利用該漏洞讀取管理員賬戶的MD5密碼散列，并登錄設備。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、移動支付網、民生證券鄭平團隊、環球時報、經濟參考報、安全客、安智客、小米安全中心報道　　

責任編輯：韓希宇