國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞316個，互聯網上出現“Tenda AC15 Router遠程代碼執行漏洞、WordPress Ajax Pagination（twitter Style）插件路徑遍歷漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　工業互聯網聯盟（IIC）發布新型物聯網安全成熟度模型（SMM）

　　治理涵蓋戰略、實踐和流程的運作和管理，如威脅建模和風險評估以及供應鏈管理。支持包括傳統安全技術的操作和管理，如身份和訪問管理、數據保護、資產管理、物理管理等。強化則是關于漏洞和補丁管理的運營方面，以及事件響應和審計等。>>詳細

　　泰國最大的4G移動運營商TrueMove H遭遇數據泄露

　　運營商向在線客戶公開存儲在亞馬遜AWS S3存儲桶中的個人數據。泄露的數據還包括身份證件的掃描，數據一直保留至4月12日，當時該公司限制訪問。>>詳細

　　重磅！剛剛！美國禁止中興進口芯片！

　　美國商務部稱，中興公司因未徹底執行一項處罰條款，將被禁止在7年內從美國進口通訊設備元件！>>詳細

　　技術觀瀾

　　暴風等知名軟件廣告頁遭“掛馬攻擊”十多萬用戶被病毒感染

　　火絨安全團隊發出安全警報，國內多家知名軟件、網站的廣告頁面遭到病毒團伙的“掛馬攻擊”。用戶訪問該頁面，即會觸發瀏覽器漏洞，導致病毒代碼被自動激活。>>詳細

　　一文看懂集成電路芯片的成本計算

　　大規模集成電路芯片，比如SOC，由多核CPU和GPU組成，用于智能手機主芯片、車載多媒體和導航系統，或者特定用途的集成電路芯片ASIC，用于電子控制模塊的信號處理，算法運行和控制執行部件。>>詳細

　　CVE申請的那些事

　　對于新手來說申請CVE總是摸不清門道，總覺得像這種國際化的高大上漏洞很難申請到，其實則不然，CVE的全稱是“Common Vulnerabilities and Exposures”翻譯成中文就是“公共漏洞和披露”可以把它理解成一個被安全從業者認可的漏洞字典。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年04月09日-2018年04月15日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞316個，其中高危漏洞113個、中危漏洞188個、低危漏洞15個。漏洞平均分值為5.96。上周收錄的漏洞中，涉及0day漏洞80個（占25%），其中互聯網上出現“Tenda AC15 Router遠程代碼執行漏洞、WordPress Ajax Pagination（twitter Style）插件路徑遍歷漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Windows 10和Windows Server2016等都是美國微軟（Microsoft）公司的一系列操作系統。MicrosoftWindows Installer是一款Windows應用程序的安裝和配置服務。MicrosoftMalware Protection Engine是惡意程序保護引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限或執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftDesktopBridge VFS權限提升漏洞、Microsoft Edge scripting引擎內存破壞漏洞（CNVD-2018-07281）、MicrosoftInternet Explorer內存破壞漏洞（CNVD-2018-07279、CNVD-2018-07326）、MicrosoftMalware Protection Engine遠程代碼執行漏洞（CNVD-2018-07296）、MicrosoftWindows GDI權限提升漏洞（CNVD-2018-07324、CNVD-2018-07325）、MicrosoftWindows Installer權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iCloud forWindows是一款基于Windows平臺的云服務。WebKit是其中的一個Web瀏覽器引擎組件。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：多款Apple產品WebKit內存破壞漏洞（CNVD-2018-07632、CNVD-2018-07633、CNVD-2018-07634、CNVD-2018-07635、CNVD-2018-07643、CNVD-2018-07644、CNVD-2018-07645、CNVD-2018-07646）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Android是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏提升權限或執行任意代碼等。

　　CNVD收錄的相關漏洞包括：Google AndroidSystem權限提升漏洞（CNVD-2018-07447、CNVD-2018-07448、CNVD-2018-07452）、Google AndroidSystem遠程代碼執行漏洞（CNVD-2018-07446、CNVD-2018-07449、CNVD-2018-07453、CNVD-2018-07666）、Google Chromeinterstitials命令執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco IOS Software和IOS XESoftware都是美國思科（Cisco）公司為其網絡設備開發的操作系統。上周，該產品被披露存在拒絕服務和越權訪問漏洞，攻擊者可利用漏洞發起拒絕服務攻擊或以特權登錄設備。

　　CNVD收錄的相關漏洞包括：Cisco IOSSoftware和IOS XE Software拒絕服務漏洞、Cisco IOS Software和IOS XESoftware拒絕服務漏洞（CNVD-2018-07300、CNVD-2018-07302、CNVD-2018-07314）、Cisco IOS XESoftware拒絕服務漏洞（CNVD-2018-07303、CNVD-2018-07304、CNVD-2018-07318）、Cisco IOS XESoftware越權訪問漏洞。除“Cisco IOS Software和IOS XE Software拒絕服務漏洞（CNVD-2018-07314）、Cisco IOS XESoftware拒絕服務漏洞（CNVD-2018-07303）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　WordPress twitter Style）插件路徑遍歷漏洞

　　WordPress是WordPress軟件基金會的一套使用PHP語言開發的博客平臺。上周，WordPress被披露存在路徑遍歷漏洞，遠程攻擊者可借助‘loop’參數中的‘..’序列利用該漏洞讀取任意文件。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Microsoft被披露存在多個漏洞，攻擊者可利用漏洞提升權限或執行任意代碼。此外，Google、Apple、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼、提升權限或發起拒絕服務攻擊等。另外，WordPress被披露存在路徑遍歷漏洞，遠程攻擊者可借助‘loop’參數中的‘..’序列利用該漏洞讀取任意文件。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CSDN、HackerNews.cc、FreebuF.COM、芯論、看雪學院、嘶吼RoarTalk報道

責任編輯：韓希宇