國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞219個，互聯網上出現“Western Digital My CloudNAS設備命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞（CNVD-2018-00078）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　1.1秒即可完成充電！中國石墨烯技術實現重大突破！

　　這種新型電池，在零下四五十度的情況下，也能正常工作；即便是被你彎折一萬次，其容量也完全保持；而且，就算你把電芯暴露于火焰中也不會起火或爆炸。>>詳細

　　西部數據My Cloud 私有云被曝存在遠程訪問后門

　　近日，外媒曝光了西部數據 My Cloud 設備存在一個嚴重后門漏洞的消息。別有用心的人們，可以借此獲得聯網設備的無限制根訪問。>>詳細

　　中美人工智能人才現狀與建議

　　上至國家政府，下至科技巨頭和AI創業公司，無不將AI人才視為提升自身的核心競爭力的根本性戰略。AI人才在哪里？這就成了戰略成敗的重中之重。>>詳細

　　技術觀瀾

　　處理器A級漏洞Meltdown(熔毀)和Spectre(幽靈)分析報告

　　該漏洞是一個足以動搖全球云計算基礎設施根基的漏洞，其意味著任何虛擬機的租戶或者入侵了成功一個虛擬機的攻擊者，都可以通過相關攻擊機制去獲取完整的物理機的CPU緩存數據，而這種攻擊對現有虛擬化節點的防御機制是無法感知的。>>詳細

　　全方位解析越獄原理

　　關于iOS最嚴重的秘密之一就是它的root密碼“alpine”。每個人都知道，蘋果也不打算改變它。使用root密碼給用戶訪問設備的核心功能，如果落入不法之徒，這可能是災難性的。>>詳細

　　PoS端惡意軟件LockPoS攜新型代碼注入技術強勢回歸

　　網絡安全公司Cyberbit的研究人員表示，PoS端惡意軟件LockPoS已經開始利用新的代碼注入技術來危害系統安全。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年01月01日-2018年01月07日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞219個，其中高危漏洞63個、中危漏洞144個、低危漏洞12個。漏洞平均分值為6.02。上周收錄的漏洞中，涉及0day漏洞51個（占23%），其中互聯網上出現“Western Digital My CloudNAS設備命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞（CNVD-2018-00078）”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　CPU處理器內核存在Meltdown和Spectre漏洞

　　CPU hardware是一套運行在CPU（中央處理器）中用于管理和控制CPU的固件。上周，CPU處理器內核被披露存在Meltdown和Spectre漏洞，攻擊者可以繞過內存訪問的安全隔離機制，使用惡意程序來獲取操作系統和其他程序的被保護數據，造成內存敏感信息泄露。

　　CNVD收錄的相關漏洞包括：CPU處理器內核存在Spectre漏洞、CPU處理器內核存在Meltdown漏洞、CPU處理器內核存在Meltdown漏洞（CNVD-2018-00304）。目前，廠商尚未發布漏洞修補程序。

　　Western Digital產品安全漏洞

　　Western Digital MyCloudNAS是一款網絡連接存儲設備。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、上傳任意文件或發起拒絕服務攻擊等。

　　CNVD收錄的相關漏洞包括：WesternDigital My Cloud NAS設備拒絕服務漏洞、Western Digital My CloudNAS設備跨站請求偽造漏洞、Western Digital My Cloud NAS設備命令注入漏洞、WesternDigital My Cloud NAS設備無限制文件上傳漏洞、Western Digital My CloudNAS設備信息泄露漏洞、Western Digital My Cloud NAS設備硬編碼后門漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商尚未發布漏洞修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10是一套供個人電腦使用的操作系統，Windows Server2016是一套服務器操作系統。Edge是其中的一個系統附帶的默認瀏覽器。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftWindows Edge和Microsoft ChakraCore遠程代碼執行漏洞、MicrosoftWindows Edge和Microsoft ChakraCore遠程代碼執行漏洞（CNVD-2018-00324、CNVD-2018-00325、CNVD-2018-00326、CNVD-2018-00327、CNVD-2018-00328、CNVD-2018-00330、CNVD-2018-00331）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple macOS High Sierra是美國蘋果（Apple）公司為Mac計算機所開發的一套專用操作系統，tvOS是一套智能電視操作系統。watchOS是一套智能手表操作系統，iOS是一套為移動設備所開發的操作系統，上周，上述產品被披露存在內存破壞、越界讀取或輸入驗證漏洞，攻擊者可利用漏洞執行任意代等。

　　CNVD收錄的相關漏洞包括：Apple iOS和macOS HighSierra IOKit組件內存破壞漏洞、Apple macOS High Sierra Intel Graphics Driver內存破壞漏洞、Apple macOSHigh Sierra Intel Graphics Driver越界讀取漏洞、Apple macOSHigh Sierra IOKit組件輸入驗證漏洞、Apple macOS High SierraIOKit組件輸入驗證漏洞（CNVD-2018-00184）、多款Apple產品Kernel內存破壞漏洞（CNVD-2018-00180、CNVD-2018-00182、CNVD-2018-00183）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　K7 AntiVirus空指針解引用漏洞

　　K7 Antivirus是印度K7 Computing公司的一套反病毒軟件。上周，K7 Computing被披露存在空指針解引用漏洞，攻擊者可通過發送0x95002570 DeviceIoControl請求利用該漏洞造成拒絕服務（空指針逆向引用）。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，WesternDigital被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、上傳任意文件或發起拒絕服務攻擊等。此外，Microsoft、Apple、ImageMagick等多款產品被披露存在多個漏洞，攻擊者可利用漏洞上傳任意文件、執行任意代碼或發起拒絕服務攻擊等。另外，K7 Computing被披露存在空指針解引用漏洞，攻擊者可通過發送0x95002570 DeviceIoControl請求利用該漏洞造成拒絕服務（空指針逆向引用）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、cnBeta、今日互聯網頭條、中國支付清算協會、FreebuF、嘶吼RoarTalk報道　　

責任編輯：韓希宇