國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞460個，互聯網上出現“WordPress拒絕服務漏洞（CNVD-2018-05439）、MalwareFox AntiMalware本地權限提升漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　谷歌發布世界第一72位量子計算機芯片 震驚世界！BAT均入局

　　對于各國來說，“量子計算”已經成為圣杯，中國互聯網巨頭也不甘落后，積極向量子計算投資。在量子計算研究方面，百度、阿里巴巴、騰訊已經開始布局，它們向一些項目提供資金支持，這些項目可能會成為墊腳石，為“超級計算機之母”量子計算的商用鋪平道路。>>詳細

　　近500萬部安卓手機感染惡意廣告病毒 小米華為OPPO等中招

　　最先開始，安全研究人員發現有不少用戶吐槽手機運行速度大幅變慢，并且總是接收到“系統 WIFI 服務”崩潰的提示，按理來說，一家這樣不奇怪，但如果多款手機都出現這樣的問題，就有點蹊蹺了。>>詳細

　　大膽預測2020年生物認證將普及

　　雖然大多數人認為生物認證就是靜態密碼，它會比密碼、PIN、和個人驗證問題更加安全，但遺憾的是，也有一小部分人對此表示擔憂。因為，只有10％受訪者表示僅使用生物認證技術就可以獲得足夠的安全保障。>>詳細

　　技術觀瀾

　　干掉13個區塊鏈最常見的Bug！

　　在公有鏈中，常見的誤解是以為所有的交易數據都是公開的，沒有隱私。這種想法與事實相差十萬八千里。 被公開的交易信息只有交易金額以及hash——將交易細節通過一段加密函數得到的一段密碼。>>詳細

　　三種流行的VPN服務正泄露你真實的IP地址

　　有研究人員發現HotSpot Shield、PureVPN和Zenmate三款流行VPN存在著安全漏洞，這些漏洞會泄露用戶真實IP地址和其他敏感數據，目前已經影響數百萬用戶。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年03月12日-2018年03月18日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞460個，其中高危漏洞130個、中危漏洞292個、低危漏洞38個。漏洞平均分值為5.64。上周收錄的漏洞中，涉及0day漏洞68個（占15%），其中互聯網上出現“WordPress拒絕服務漏洞（CNVD-2018-05439）、MalwareFox AntiMalware本地權限提升漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Adobe產品安全漏洞

　　Acrobat DC ContinuousTrack等都是美國奧多比（Adobe）公司的產品。Acrobat DCContinuous Track是一款桌面版PDF解決方案的連續更新版本。Reader DCContinuous Track是一款PDF閱讀工具的連續更新版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：多款Adobe產品越界內存讀取漏洞（CNVD-2018-05018、CNVD-2018-05019、CNVD-2018-05020、CNVD-2018-05021、CNVD-2018-05022、CNVD-2018-05023、CNVD-2018-05024、CNVD-2018-05025）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows是美國微軟公司發布的一系列操作系統。Windows kernel是其中的一個操作系統內核。MicrosoftOutlook是一套Office套件中的電子郵件客戶端軟件。Office Click-to-Run（C2R）是一套辦公軟件套件產品。上周，上述產品被披露存在權限提升、代碼執行和內存破壞漏洞，攻擊者可利用漏洞提升權限或執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftOffice 2016 Click-to-Run遠程代碼執行漏洞、Microsoft Outlook內存破壞漏洞、MicrosoftWindows kernel權限提升漏洞（CNVD-2018-05033、CNVD-2018-05037、CNVD-2018-05038、CNVD-2018-05039、CNVD-2018-05040、CNVD-2018-05041）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Android是一種基于Linux的自由及開放源代碼的操作系統，由谷歌公司和開放手機聯盟領導及開發。上周，該產品被披露存在權限提升漏洞，攻擊者可利用漏提升權限。

　　CNVD收錄的相關漏洞包括：Google AndroidKernel組件權限提升漏洞（CNVD-2018-05460）、Google Android Qualcomm組件權限提升漏洞（CNVD-2018-05452、CNVD-2018-05453、CNVD-2018-05454、CNVD-2018-05455、CNVD-2018-05456、CNVD-2018-05457、CNVD-2018-05458）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Schneider Electric產品安全漏洞

　　Schneider Electric PelcoSarix Professional是法國施耐德電氣公司的一款視頻監控設備。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令、提升權限或下載任意文件等。

　　CNVD收錄的相關漏洞包括：SchneiderElectric Pelco Sarix Professional緩沖區溢出漏洞、SchneiderElectric Pelco Sarix Professional命令執行漏洞、SchneiderElectric Pelco Sarix Professional命令執行漏洞（CNVD-2018-05325、CNVD-2018-05326）、Schneider ElectricPelco Sarix Professional權限提升漏洞、Schneider Electric Pelco SarixProfessional權限提升漏洞（CNVD-2018-05321）、Schneider Electric PelcoSarix Professional任意文件刪除漏洞、Schneider Electric PelcoSarix Professional任意文件下載漏洞。除“Schneider Electric PelcoSarix Professional任意文件刪除漏洞、Schneider Electric PelcoSarix Professional任意文件下載漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　OMRON NS設備認證繞過漏洞

　　OMRON NS devices是歐姆龍（Omron）公司的一款觸摸屏人機界面編程設備。上周，OMRON被披露存在認證繞過漏洞，遠程攻擊者可通過向.html文件發送直接請求利用該漏洞繞過身份驗證。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Adobe被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Google、Microsoft、SchneiderElectric等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼、提升權限或刪除任意文件等。另外，OMRON被披露存在認證繞過漏洞，遠程攻擊者可通過向.html文件發送直接請求利用該漏洞繞過身份驗證。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合51CTO、雷鋒網、嘶吼RoarTalk、CSDN報道　　

責任編輯：韓希宇