國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞309個，互聯網上出現“D-Link DSL-3782 Login Panel未授權操作漏洞、Samsung S7 Edge整數溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　微軟宣布75億美元股票收購代碼托管平臺GitHub

　　交易完成后，GitHub將繼續秉承其“開發者為先”的理念，并繼續獨立運營，為所有行業的所有開發者提供一個開放的平臺。>>詳細

　　監管再提數據安全 銀行借力金融科技探路云端安保

　　在銀行也正在探索建立行業云和公有云，未來可能銀行都會投入云技術，但因為每個銀行業務和備份方式的差異，恢復要求也不同，這時就需要定制的自助化方案。>>詳細

　　從數字風險看網絡安全保險業務的興起

　　今年在達沃斯世界經濟論壇上發布的《2018年全球風險報告》中，把可能性最高的十大風險之一網絡攻擊，列為由人為因素造成的最高威脅。數字時代，最大風險的一定會是數字風險，這一趨勢已經毋庸置疑。>>詳細

　　技術觀瀾

　　什么是智能合約漏洞？

　　對于廠商來說，由于智能合約不可修改的特性，要對上線后發現的漏洞進行有效修復，只能選擇重新部署新的合約，這將付出巨大的代價，因此有的廠商可能會選擇不響應，不處理。>>詳細

　　檢測Hook和ROP攻擊: 方法與實例

　　許多創新系統都能確保軟件安全。但是許多應用程序仍然容易受到Hook（鉤子）和ROP（返回式編程）攻擊。雖然不可能擺脫應用程序中的所有漏洞，但開發人員應該在編程階段考慮可執行空間保護。>>詳細

　　beSTORM網絡協議之Fuzz入門教程

　　beSTORM的架構分為兩個部分，一部分為Client，另一部分為Monitor。其中Client用于向被測程序發送畸形數據包；Monitor用于監控被測程序的狀態，一旦發現被測程序出現異常立即記錄下來，并發送給Client端。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年05月28日-2018年06月03日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞309個，其中高危漏洞127個、中危漏洞165個、低危漏洞17個。漏洞平均分值為6.31。上周收錄的漏洞中，涉及0day漏洞81個（占26%），其中互聯網上出現“D-Link DSL-3782 Login Panel未授權操作漏洞、Samsung S7 Edge整數溢出漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　CNVD收錄的相關漏洞包括：Google AndroidQualcomm組件權限提升漏洞（CNVD-2018-10681、CNVD-2018-10682、CNVD-2018-10683、CNVD-2018-10684、CNVD-2018-10685、CNVD-2018-10686、CNVD-2018-10687、CNVD-2018-10688），上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　MicrosoftExchange Server是美國微軟（Microsoft）公司的一套電子郵件服務程序。MicrosoftOffice 2010 SP2是一款辦公軟件套件產品。Excel 2010 SP2是Office套件中的一套電子表格處理軟件。Microsoft Edge是一款流行的WEB瀏覽器。上周，上述產品被披露存在遠程代碼執行、內存破壞和權限提升漏洞，攻擊者可利用漏洞執行任意代碼、提升權限等。

　　CNVD收錄的相關漏洞包括：MicrosoftOffice遠程代碼執行漏洞（CNVD-2018-10431、CNVD-2018-10439、CNVD-2018-10440）、MicrosoftExcel遠程代碼執行漏洞（CNVD-2018-10432、CNVD-2018-10433）、Microsoft Edge腳本引擎遠程內存破壞漏洞（CNVD-2018-10735、CNVD-2018-10736）、MicrosoftExchange Server權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Adobe Reader是美國Adobe公司開發的一款PDF文件閱讀軟件。Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。上周，上述產品被披露存在內存錯誤引用漏洞，攻擊者可利用該漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：AdobeAcrobat/Reader內存錯誤引用漏洞（CNVD-2018-10460、CNVD-2018-10461、CNVD-2018-10462、CNVD-2018-10463、CNVD-2018-10464、CNVD-2018-10465、CNVD-2018-10466、CNVD-2018-10467）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM FlashSystem產品是將數據存儲在閃存上的企業計算機數據存儲系統。IBM DB2是美國IBM公司的一套關系型數據庫管理系統。IBM UrbanCodeDeploy（UCD）是美國IBM公司的一套應用自動化部署工具。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息或執行任意代碼等。

　　CNVD收錄的相關漏洞包括：IBM DB2 for Linux、UNIX和Windows緩沖區溢出漏洞、IBM DB2緩沖區溢出漏洞（CNVD-2018-10801、CNVD-2018-10804、CNVD-2018-10805）、IBMFlashSystem任意文件覆蓋漏洞、IBM Security QRadar SIEM SQL注入漏洞（CNVD-2018-10458）、IBM SecurityQRadar SIEM目錄遍歷漏洞（CNVD-2018-10457）、IBM UrbanCode Deploy信息泄露漏洞（CNVD-2018-10455），上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apache Hadoop權限提升漏洞（CNVD-2018-10426）

　　Apache Hadoop是美國阿帕奇（Apache）軟件基金會的一套開源的分布式系統基礎架構。上周，Apache被披露存在權限提升漏洞，攻擊者可利用漏洞升級為yarn 用戶的用戶，并以root用戶身份運行任意命令。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Google被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。此外，Microsoft、Adobe、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感信息、執行任意代碼或提升權限等。另外，Apache被披露存在權限提升漏洞，攻擊者可利用漏洞升級為yarn 用戶的用戶，并以root用戶身份運行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、安全牛、中國經營網、新浪科技、嘶吼RoarTalk、FreebuF.COM報道

責任編輯：韓希宇