國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞212個，互聯網上出現“Bitmain Antminer D3、L3+和S9代碼執行漏洞、NUUO NVRmini 2任意文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　北京檢方發布《網絡安全刑事司法保護白皮書》

　　白皮書披露，網絡犯罪普遍呈現低齡化，該類案件中“90后”占比近38%，“80后”占比約48%。犯罪行為人普遍學歷較低，本科及以上學歷人數僅占21%，初中、中專、小學等教育主體占比超過60%。>>詳細

　　數字貨幣錢包安全白皮書

　　近期360安全團隊發現了國外某知名錢包APP的一個錢包不正確加密存儲漏洞，其錢包APP在第一次運行的時候，默認為用戶創建一個新錢包并將錢包文件未加密存儲在系統本地，攻擊者可以讀取存儲的錢包文件。>>詳細

　　廢除網絡中立性法規決定已生效 美國將面臨哪些改變

　　網絡中立性法規由奧巴馬政府于2015年制定，禁止互聯網服務提供商屏蔽某些網站或給這些網站提供優待，旨在保證全體網民擁有平等地訪問互聯網的權利。>>詳細

　　技術觀瀾

　　多目的攻擊活動——Prowli的技術分析

　　Operation Prowli通過向服務器和網站發送惡意軟件進行傳播，已經入侵了超過4萬臺設備。Prowli會使用不同的攻擊技術包括漏洞利用、密碼暴力破解和弱配置等。>>詳細

　　VPNFilter惡意軟件最新研究進展

　　這些新的發現表明VPNFilter威脅正在進一步發展。除了攻擊目標和廠商的增多，還發現了惡意軟件的新功能，惡意軟件不僅可以攻擊終端設備，還入侵設備所處的網絡。如果攻擊成功，攻擊者就能夠完成rootkit、數據竊取、破壞性惡意軟件等功能。>>詳細

　　EKFiddle：基于Fiddler研究惡意流量的框架

　　EKFiddle是一個基于Fiddler web debugger的，用于研究漏洞利用套件、惡意軟件和惡意流量的框架。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年06月04日-2018年06月10日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞212個，其中高危漏洞70個、中危漏洞127個、低危漏洞15個。漏洞平均分值為6.07。上周收錄的漏洞中，涉及0day漏洞59個（占29%），其中互聯網上出現“Bitmain Antminer D3、L3+和S9代碼執行漏洞、NUUO NVRmini 2任意文件上傳漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Microsoft產品安全漏洞

　　Microsoft Office 2016 for Mac是美國微軟（Microsoft）公司開發的一款基于Mac平臺的辦公軟件套件產品。PowerPoint是Office套件中的一個文檔演示工具。MicrosoftWindows是美國微軟公司研發的一套操作系統，Windows采用了圖形化模式GUI。MicrosoftSharePoint Enterprise Server 2013 SP1、SharePoint EnterpriseServer 2016和SharePoint Server 2010 SP2都是企業業務協作平臺，用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Access是其中的一個數據庫組件。上周，上述產品被披露存在權限提升和遠程代碼執行漏洞，攻擊者可利用漏洞提升權限、執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftPowerPoint遠程代碼執行漏洞（CNVD-2018-10942）、Microsoft Windows權限提升漏洞（CNVD-2018-10982）、MicrosoftWindows Win32k權限提升漏洞（CNVD-2018-10986、CNVD-2018-10987）、MicrosoftWindows遠程代碼執行漏洞（CNVD-2018-10992、CNVD-2018-11048）、MicrosoftSharePoint Server權限提升漏洞（CNVD-2018-11000）、MicrosoftWindows Image權限提升漏洞，上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Adobe產品安全漏洞

　　Adobe Acrobat和Reader都是美國奧多比（Adobe）公司的產品。前者是一套PDF文件編輯和轉換工具，后者是一套PDF文檔閱讀軟件。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：AdobeAcrobat/Reader堆溢出漏洞（CNVD-2018-10976、CNVD-2018-10977、CNVD-2018-10978）、AdobeAcrobat/Reader緩沖區溢出漏洞（CN-2018-10886、CNVD-2018-10996、CNVD-2018-10998、CNVD-2018-10997、CNVD-2018-10999）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　IBM產品安全漏洞

　　IBM API Connect（又名APIConnect）是美國IBM公司的一套用于管理API生命周期的集成解決方案。IBM BigFixPlatform是一款系統管理軟件。IBM InfoSphere Information Server是市場領先的數據集成平臺，其中包括一系列產品。IBM SAN VolumeController（SVC）是存儲系統。IBM SVC是一套虛擬化存儲系統；Storwize是一套專為中小型企業定制的磁盤存儲系統；SpectrumVirtualize是一套光譜存儲系統；FlashSystem是一套全閃存存儲系統。上周，上述產品被披露存在信息泄露和權限提升漏洞，攻擊者可利用漏洞獲取敏感信息或提升權限。

　　CNVD收錄的相關漏洞包括：IBM APIConnect信息泄露漏洞（CNVD-2018-10950）、IBM InfoSphereInformation Server權限提升漏洞、IBM BigFix Platform信息泄露漏洞（CNVD-2018-11073）、IBM InfoSphereInformation Server信息泄露漏洞（CNVD-2018-11080）、多款IBM產品信息泄露漏洞（CNVD-2018-11111、CNVD-2018-11110、CNVD-2018-11113、CNVD-2018-11112）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Oracle產品安全漏洞

　　Oracle Fusion Middleware（Oracle融合中間件）是美國甲骨文（Oracle）公司的一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。OracleHospitality Applications是一套用于酒店管理的業務應用程序、服務器和存儲解決方案。Oracle RetailApplications是一套零售應用商店解決方案。上周，該產品被披露存在拒絕服務和未授權操作漏洞，攻擊者可利用漏洞未授權訪問、更新、插入或刪除數據或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Oracle FusionMiddleware Outside In Technology組件拒絕服務漏洞（CNVD-2018-10966、CNVD-2018-10969）、Oracle FusionMiddleware WebCenter Content組件未授權操作漏洞、Oracle Fusion MiddlewareData Visualization Desktop組件拒絕服務漏洞、Oracle HospitalityApplications Hospitality Suite8組件拒絕服務漏洞、Oracle RetailApplications Retail Integration Bus組件未授權操作漏洞、Oracle RetailApplications Retail Back Office組件未授權操作漏洞、Oracle RetailApplications Retail Point-of-Service組件未授權操作漏洞。目前，廠商已經發布了上述漏洞的修補程序。

　　D-Link DIR-816 A2棧緩沖區溢出漏洞

　　D-Link DIR-816 A2是友訊（D-Link）公司的一款無線路由器產品。GoAhead是其中的一款嵌入式Web服務器。上周，D-Link被披露存在棧緩沖區溢出漏洞，遠程攻擊者可通過發送帶有較長HTTP Host包頭的請求利用該漏洞執行任意代碼。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Microsoft被披露存在權限提升和遠程代碼執行漏洞，攻擊者可利用漏洞提升權限、執行任意代碼。此外，Adobe、IBM、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、提升權限、執行任意代碼或發起拒絕服務攻擊等。另外，D-Link被披露存在棧緩沖區溢出漏洞，遠程攻擊者可通過發送帶有較長HTTP Host包頭的請求利用該漏洞執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、法制網、新浪科技、嘶吼RoarTalk、FreebuF.COM報道

責任編輯：韓希宇