國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞257個，互聯網上出現“Linksys WVBR0無線網橋遠程命令執行漏洞、Western Digital MyCloudPR4100 Web管理組件'multi_uploadify'文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　物聯網及人工智能時代支付發展趨勢

　　物聯網及人工智能對支付的影響尚淺，僅表現為優化支付效率與風險防控等維度，但其發展很可能是非線性的，長期來看，將會對支付方式、產業機構以及盈利模式帶來影響。>>詳細

　　虹膜識別全面爆發 只是缺少一個機會

　　數據分為兩種：一類是人類產生的數據，比如具體的消費行為、購物動作等。人們根據這些數據去勾勒用戶畫像，從而做到更懂客戶，構建強大競爭力；二類是人類自產的數據，阿里王堅曾說，每個人身上都有無數數據，如果利用技術去充分辨識這些數據，將能更加全面地認識自己。>>詳細

　　IPv6 下一代網絡技術與信息安全

　　未來的IPv6時代，將有足夠多的地址，每個人一個地址，和電話號碼一樣，從號碼前幾位就知道用戶是從哪里注冊的，并顯示出身份信息，因為每一個地址都是真正獨一無二的，較容易實現實名制，網絡安全管理能力將有所提高，網絡詐騙追溯的難度也會大大降低。>>詳細

　　技術觀瀾

　　火爆全球的區塊鏈到底是怎么一回事？一文帶你看懂

　　為了保證數據的可靠性，區塊鏈也有自己的代價。一是效率，數據寫入區塊鏈，最少要等待十分鐘，所有節點都同步數據，則需要更多的時間；二是能耗，區塊的生成需要礦工進行無數無意義的計算，這是非常耗費能源的。>>詳細

　　域信任機制的攻擊技術指南

　　如果信任是非傳遞性的，那么你將無法從非傳遞性的點上查詢信任鏈中的任何一個Active Directory的信息。外部信任隱含了信任的不可傳遞性。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年01月08日-2018年01月14日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞257個，其中高危漏洞109個、中危漏洞134個、低危漏洞14個。漏洞平均分值為6.41。上周收錄的漏洞中，涉及0day漏洞78個（占30%），其中互聯網上出現“Linksys WVBR0無線網橋遠程命令執行漏洞、Western Digital MyCloudPR4100 Web管理組件'multi_uploadify'文件上傳漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Android平臺WebView控件存在高危漏洞

　　WebView是Android用于顯示網頁的控件。上周，該產品被披露存在跨域訪問高危漏洞，攻擊者通過URL Scheme的方式，可遠程打開并加載惡意HTML文件，遠程獲取APP中包括用戶登錄憑證在內的所有本地敏感數據。

　　CNVD收錄的相關漏洞包括：AndroidWebView存在跨域訪問漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10是一套供個人電腦使用的操作系統，Windows Server2016是一套服務器操作系統。Edge是其中的一個系統附帶的默認瀏覽器。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Microsoft Edge腳本引擎內存破壞漏洞（CNVD-2018-00504、CNVD-2018-00505、CNVD-2018-00506、CNVD-2018-00507、CNVD-2018-00508、CNVD-2018-00509、CNVD-2018-00510、CNVD-2018-00511）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Android是美國谷歌公司的一套以Linux為基礎的開源操作系統。MediaFramework是其中的一個用于多媒體開發框架。Android Runtime（ART）是Android系統的運行環境。

　　上周，上述產品被披露存在權限提升和遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Google AndroidMedia Framework權限提升漏洞（CNVD-2018-00624、CNVD-2018-00634、CNVD-2018-00635、CNVD-2018-00636）、Google AndroidMedia Framework遠程代碼執行漏洞（CNVD-2018-00631、CNVD-2018-00632、CNVD-2018-00633）、Google AndroidRuntime權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　PHP Scripts Mall產品安全漏洞

　　PHP Scripts Mall SingleTheater Booking是一款開源劇院腳本；Car Rental Script是一款用于出租車預訂業主和代理的開源網站腳本；Resume CloneScript是一款簡歷克隆腳本；Professional Service Script是一款具有搜索、任務創建及任務管理功能的腳本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息或發起跨站腳本攻擊等。

　　CNVD收錄的相關漏洞包括：PHP ScriptsMall Car Rental Script跨站腳本漏洞、PHP Scripts Mall Car Rental Script跨站請求偽造漏洞、PHP ScriptsMall Car Rental Script SQL注入漏洞（CNVD-2018-00484）、PHP ScriptsMall Professional Service Script跨站腳本漏洞、PHP ScriptsMall Professional Service Script信息泄露漏洞、PHP ScriptsMall Professional Service Script SQL注入漏洞（CNVD-2018-00489）、PHP ScriptsMall Resume Clone Script SQL注入漏洞（CNVD-2018-00492）、PHP ScriptsMall Single Theater Booking SQL注入漏洞。除“PHP Scripts Mall Car Rental Script跨站腳本漏洞、PHP ScriptsMall Car Rental Script跨站請求偽造漏洞、PHP Scripts MallProfessional Service Script跨站腳本漏洞、PHP Scripts Mall Professional ServiceScript信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。

　　Linksys WVBR0無線網橋遠程命令執行漏洞

　　Linksys WVBR0是一款無線網絡中繼器設備。上周，Linksys被披露存在遠程命令執行漏洞，遠程攻擊者可利用該漏洞以root權限執行任意代碼。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Android WebView被披露存在跨域訪問高危漏洞，攻擊者通過URL Scheme的方式，可遠程打開并加載惡意HTML文件，遠程獲取APP中包括用戶登錄憑證在內的所有本地敏感數據。此外，Microsoft、Google、PHP ScriptsMall等多款產品被披露存在多個漏洞，攻擊者可利用漏洞泄露數據庫敏感信息、執行任意代碼或發起跨站腳本攻擊等。另外，Linksys被披露存在遠程命令執行漏洞，遠程攻擊者可利用該漏洞以root權限執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、銀行卡研究資訊、雷鋒網、《保密科學技術》、互聯網架構師、嘶吼RoarTalk報道　

責任編輯：韓希宇