國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞248個，互聯網上出現“Secutech RiS-11、RiS-22和RiS-33 DNS更改漏洞、Frog CMS任意文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾和月末大講堂，深入探討信息安全知識。

　　一周行業要聞速覽

　　中興生死劫 如何破解中國的芯片之痛？

　　在半導體設備領域，光刻機是芯片制造過程中最核心的設備，全球最大芯片光刻設備市場供貨商ASML是為數不多的廠家之一。但就是這樣核心的設備，卻對中國禁售。即使賣給中國，也是落后好幾代的設備。>>詳細

　　為防監視 法國政府著手打造屬于自己的加密通訊應用程序

　　雖然WhatsApp和Telegram應用程序都支持高級加密標準，具有很好的安全性——WhatsApp依賴于行業的加密標準，Telegram則使用自行開發的加密方法，但是，使用所有權不在自己國家的加密通訊應用程序終歸會帶來安全隱患。>>詳細

　　美國知名銀行前員工或盜用150萬客戶信息 出售給犯罪組織

　　SunTrust銀行的一位前雇員可能盜取了150萬名客戶的數據，包括姓名、地址、電話號碼和賬戶余額等重要信息。>>詳細

　　技術觀瀾

　　巡風風險掃描開源系統的一些演變

　　同程SRC團隊開源巡風資產風險控制系統也有一段時間了，我們臨時用它作為一個簡單的soc平臺來使用，期間也做了一些定制化開發。>>詳細

　　新漏洞:黑客可利用iTunes Wi-Fi同步功能接管你的iPhone

　　賽門鐵克的研究人員發現了蘋果生態中的一個漏洞，只要用戶的 iPhone 與 Mac 工作站或筆記本配對，黑客就能利用該漏洞（Trustjacking）偷偷摸摸地“接管”用戶設備。>>詳細

　　DNS安全威脅及未來發展趨勢的研究

　　DNS安全是網絡安全第一道大門，如果DNS的安全沒有得到標準的防護及應急措施，即使網站主機安全防護措施級別再高，攻擊者也可以輕而易舉的通過攻擊DNS服務器使網站陷入癱瘓。調查顯示，DNS攻擊是互聯網中第二大攻擊媒介。>>詳細

　　月末大講堂

　　APT組織正在利用IE瀏覽器中的零日漏洞“double play”

　　該APT組織正在傳播一個嵌入了惡意網頁的Office文檔，一旦用戶打開該文檔，就會從遠程服務器中下載并執行漏洞利用代碼和惡意負載。在攻擊鏈的后期階段，攻擊者會利用一個公共的UAC旁路技術，并使用文件隱寫和內存反射加載來逃避流量監控，并實現無文件加載。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年04月16日-2018年04月20日）信息安全漏洞威脅整體評價級別為高。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞248個，其中高危漏洞80個、中危漏洞151個、低危漏洞17個。漏洞平均分值為5.85。上周收錄的漏洞中，涉及0day漏洞51個（占21%），其中互聯網上出現“Secutech RiS-11、RiS-22和RiS-33 DNS更改漏洞、Frog CMS任意文件上傳漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　WebLogic Server WLS核心組件反序列化漏洞

　　WebLogic Server是美國甲骨文（Oracle）公司開發的一款適用于云環境和傳統環境的應用服務中間件。上周，該產品被披露存在反序列化漏洞，攻擊者可利用漏洞在未授權的情況下遠程執行代碼。

　　CNVD收錄的相關漏洞包括：OracleWebLogic Server WLS核心組件反序列化漏洞。該漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iCloud forWindows是一款基于Windows平臺的云服務。WebKit是其中的一個Web瀏覽器引擎組件。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：多款Apple產品WebKit內存破壞漏洞（CNVD-2018-07779、CNVD-2018-07780、CNVD-2018-07781、CNVD-2018-07782、CNVD-2018-07807、CNVD-2018-07808、CNVD-2018-07809、CNVD-2018-07810）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。Qualcommclosed-source components是其中的一個美國高通（Qualcomm）公司開發的閉源組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏提升權限或執行任意代碼等。

　　CNVD收錄的相關漏洞包括：Google Android本地權限提升漏洞（CNVD-2018-07851、CNVD-2018-07863）、Google Android緩沖區溢出漏洞（CNVD-2018-07849、CNVD-2018-07861）、Google Android權限提升漏洞（CNVD-2018-07850、CNVD-2018-07858）、Google Android遠程代碼執行漏洞（CNVD-2018-07862）、Google AndroidQualcomm閉源組件緩沖區溢出漏洞。除“Google Android本地權限提升漏洞（CNVD-2018-07851、CNVD-2018-07863）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10和Windows Server2016都是美國微軟（Microsoft）公司的產品。Edge是其中的一個系統附帶的默認瀏覽器。InternetExplorer（IE）是一款Windows操作系統附帶的Web瀏覽器。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftChakraCore和Edge遠程代碼執行漏洞（CNVD-2018-07772、CNVD-2018-07773、CNVD-2018-07774、CNVD-2018-07775）、MicrosoftInternet Explorer遠程代碼執行漏洞（CNVD-2018-07776、CNVD-2018-07777、CNVD-2018-07778、CNVD-2018-08022）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　MikroTik RouterOS權限提升漏洞

　　MikroTik RouterOS是拉脫維亞MikroTik公司的一套基于Linux核心開發的路由操作系統。上周，MikroTik被披露存在權限提升漏洞，遠程攻擊者可利用該漏洞獲取客戶端內部網絡的訪問權限。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，OracleWebLogic Server被披露存在反序列化漏洞，攻擊者可利用漏洞在未授權的情況下遠程執行代碼。此外，Apple、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼、提升權限或發起拒絕服務攻擊等。另外，MikroTik被披露存在權限提升漏洞，遠程攻擊者可利用該漏洞獲取客戶端內部網絡的訪問權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、第一財經、雷鋒網、FreebuF.COM、嘶吼RoarTalk報道

責任編輯：韓希宇