國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞440個，互聯網上出現“PHICOMM K2（PSG1218）輸入驗證漏洞、Debut embedded http server拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　人工智能戰略中的信息安全——美國、英國人工智能發展戰略簡析

　　如果說今天的人工智能是互聯網，乃至整個信息技術領域的皇冠，那么安全無疑是皇冠的基座。就像任何新技術一樣，人工智能的安全與否很大程度上影響著其未來的發展和應用。>>詳細

　　手掌靜脈識別技術在支付行業的應用前景分析

　　手掌靜脈識別是針對人體手掌部分的靜脈結構，相對而言手掌部位血管較深，給紅外成像和系統存儲識別比對帶來困難，但手掌靜脈數目較多，能夠有效提高識別精度。>>詳細

　　拋棄高通、攜手Intel蘋果到底在猶豫什么？

　　蘋果與高通的訴訟糾紛已持續近一年之久，由外及里去看，這已經不僅僅是蘋果與高通的糾紛，更像是終端廠商與高通商業模式的糾紛。>>詳細

　　技術觀瀾

　　在Office文檔的屬性中隱藏攻擊載荷

　　這種技術提供了一種簡單的方法在Microsoft Office文檔的文檔屬性中來隱藏惡意命令。觸發有效載荷的宏不會被認為是惡意的宏，文檔文件的注釋部分也不會被各種殺毒軟件進行檢查。>>詳細

　　專家教你利用深度學習檢測惡意代碼

　　目前的反病毒和惡意軟件檢測產品，一般采用的是基于特征的方法，它們借助人工設定的規則集來判斷某軟件是否屬于某種已知的惡意軟件類型集合。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2017年12月18日-2017年12月24日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞440個，其中高危漏洞194個、中危漏洞202個、低危漏洞44個。漏洞平均分值為6.06上周收錄的漏洞中，涉及0day漏洞142個（占32%），其中互聯網上出現“PHICOMM K2（PSG1218）輸入驗證漏洞、Debut embedded http server拒絕服務漏洞”等零日代碼攻擊漏洞。上周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數466個，與前周（567個）環比減少18%。

　　上周重要漏洞安全告警

　　IBM產品安全漏洞

　　IBM Sterling File Gateway是美國IBM公司的一套文件傳輸軟件，IBM AtlaseDiscovery Process Management是一款信息生命周期治理解決方案中的產品，IBM Tivoli Monitoring是系統監控軟件，IBM Jazz forService Management是一款提供對服務管理環境可見性的集成服務管理產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息、執行任意代碼或繞過安全限制等。

　　CNVD收錄的相關漏洞包括：IBM Jazz forService Management跨站請求偽造漏洞（CNVD-2017-37857、CNVD-2017-37866）、IBM AtlaseDiscovery Process Management SQL注入漏洞、IBM FinancialTransaction Manager SQL注入漏洞、IBM QRadar命令注入漏洞、IBM SecurityGuardium Database Activity Monitor SQL注入漏洞、IBM SterlingFile Gateway安全繞過漏洞、IBM TivoliMonitoring任意代碼執行漏洞。除“IBM Jazz forService Management跨站請求偽造漏洞（CNVD-2017-37857、CNVD-2017-37866）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Huawei產品安全漏洞

　　Huawei AR120-S等都是中國華為（Huawei）公司的路由器產品，Huawei S12700等是智能路由交換機。Huawei USG系列產品及Secospace USG系列是新一代專業入侵防御和防火墻產品。Huawei暢享5S是一款智能手機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取數據、泄露內存信息或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：多款Huawei產品IPv6協議越邊界讀取漏洞、多款Huawei產品輸入校驗漏洞、多款Huawei產品輸入驗證漏洞（CNVD-2017-37728）、多款Huawei防火墻產品存在內存泄露漏洞、多款Huawei路由器產品數值計算錯誤漏洞、多款Huawei產品拒絕服務漏洞（CNVD-2017-37724、CNVD-2017-37726）、Huawei暢享5S信息泄露漏洞。除“多款Huawei產品拒絕服務漏洞（CNVD-2017-37726）、Huawei暢享5S信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Quest產品安全漏洞

　　Quest NetVault Backup是美國Quest Software公司的一套數據備份軟件。上周，該產品被披露存在SQL注入漏洞，攻擊者可利用漏洞獲取數據庫敏感信息。

　　CNVD收錄的相關漏洞包括：Quest NetVaultBackup SQL注入漏洞（CNVD-2017-37630、CNVD-2017-37631、CNVD-2017-37632、CNVD-2017-37633、CNVD-2017-37634、CNVD-2017-37635、CNVD-2017-37636、CNVD-2017-37637）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　QNAP產品安全漏洞

　　QNAP QTS是中國威聯通（QNAP Systems）公司的一套Turbo NAS作業系統。Video Station是其中的一個視頻播放器。上周，上述產品被披露存在緩沖區溢出和SQL注入漏洞，攻擊者可利用漏洞執行任意代碼或獲取數據庫敏感信息。

　　CNVD收錄的相關漏洞包括：QNAP QTS緩沖區溢出漏洞、QNAP QTS緩沖區溢出漏洞（CNVD-2017-37605、CNVD-2017-37606、CNVD-2017-37607、CNVD-2017-37608、CNVD-2017-37609、CNVD-2017-37610）、QNAP VideoStation命令注入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　多款Shenzhen Tenda產品app_data_center命令注入漏洞

　　Shenzhen Tenda Ac9等都是中國騰達（Tenda）公司的無線路由器產品。上周，Tenda被披露存在命令注入漏洞，遠程攻擊者可通過發送特制的cgi-bin/luci/usbeject?dev_name=GET請求利用該漏洞執行任意的操作系統命令。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，IBM被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息、執行任意代碼或繞過安全限制等。此外，Huawei、Quest、QNAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息、執行任意代碼或發起拒絕服務攻擊等。另外，Tenda被披露存在命令注入漏洞，遠程攻擊者可通過發送特制的cgi-bin/luci/usbeject?dev_name=GET請求利用該漏洞執行任意的操作系統命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、《保密科學技術》、中國支付清算協會、嘶吼RoarTalk、OFweek報道

責任編輯：韓希宇