國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞302個，互聯網上出現“MACCMS 10跨站請求偽造漏洞、WordPress Pie Register插件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　西班牙電信和華為實現量子密鑰分發新突破

　　QKD的原理是傳輸特定量子態下的光子，對量子進行測量會干擾其狀態，因此竊聽者攔截光子的任何企圖都會被發現，這樣就可以拋棄密鑰，從而不存在被黑的風險。>>詳細

　　中國批準高通收購恩智浦！高通博通同時大裁員！

　　服務器芯片部門的機會在于蜂窩基站高能耗芯片，這種芯片是蜂窩基站的關鍵組成部門，它通過無線連接為手機提供處理能力。有了這種芯片的支持，手機可以加入VR/AR功能，提供無與倫比的體驗。>>詳細

　　口令末日即將到來FIDO將其無口令標準推向歐洲

　　FIDO標準是去中心化的，生物特征從不離開設備。而GDPR將生物特征定為敏感數據，所以FIDO標準從設計上就是符合GDPR隱私要求的。>>詳細

　　技術觀瀾

　　史上最全無線網橋知識 收藏這一篇就夠了！

　　從作用上來理解無線網橋，它可以用于連接兩個或多個獨立的網絡段，這些獨立的網絡段通常位于不同的建筑內，相距幾百米到幾十公里，可以廣泛應用在不同建筑物間的互聯。>>詳細

　　對銀行木馬DanaBot的Javascript Downloader分析

　　本文分析的downloader（下載器）被用于將DanaBot(銀行木馬)安裝到用戶系統上。普通的Javascript downloader并不難分析，但是DanaBot的Javascript Downloader使用了有很多混淆技術。>>詳細

　　隱藏在ARM處理器深處的神秘力量

　　在現代操作系統中，系統運行的內核空間和應用程序的用戶空間相互隔離，以保證操作系統的穩定性。以運行Linux內核的ARM終端為例，內核空間和用戶空間擁有不同的頁表信息，并保存于不同的硬件寄存器。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年06月11日-2018年06月17日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞302個，其中高危漏洞109個、中危漏洞179個、低危漏洞14個。漏洞平均分值為6.28。上周收錄的漏洞中，涉及0day漏洞74個（占25%），其中互聯網上出現“MACCMS 10跨站請求偽造漏洞、WordPress Pie Register插件SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Cisco產品安全漏洞

　　Cisco Prime Collaboration Provisioning（PCP）是一套基于Web的下一代通信服務軟件。CiscoFirepower Threat Defense是一套運行在防火墻中的軟件。detection engine是其中的一個檢測引擎。Cisco PrimeCollaboration Provisioning（PCP）是一套基于Web的下一代通信服務軟件。CiscoAppDynamics App iQ Platform是一款實時應用程序和業務性能監控解決方案。Cisco Wide AreaApplication Services（WAAS）Software是一套廣域網鏈路加速軟件。Disk CheckTool（disk-check.sh）是其中的一個磁盤檢查工具。Cisco IOS XE Software是一套為其網絡設備開發的操作系統。Cisco IP Phone6800、7800和8800 Series Phones都是美國思科（Cisco）公司的不同系列的IP電話產品。MultiplatformFirmware是其中的一套支持多平臺的防火墻軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息，繞過安全功能限制，提升權限，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Cisco Prime CollaborationProvisioning SQL注入漏洞（CNVD-2018-11254）、CiscoFirepower Threat Defense software遠程安全繞過漏洞、Cisco IP Phone8800 Series和IP Phone 7800 Series拒絕服務漏洞、Cisco WebSecurity Appliance AsyncOS安全繞過漏洞、Cisco AppDynamics App iQ Platform SQL注入漏洞、Cisco WideArea Application Services（WAAS）軟件權限提升漏洞、Cisco IOS XESoftware緩沖區溢出漏洞、Cisco IP Phone 6800、7800和8800 SeriesPhones拒絕服務漏洞，上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Google Chrome是美國谷歌（Google）公司開發的一款Web瀏覽器。Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行未授權的操作，提升權限，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Google ChromeV8類型混淆漏洞（CNVD-2018-11352）、Google Chrome PDFium堆緩沖區溢出漏洞（CNVD-2018-11353）、Google Chrome權限提升漏洞（CNVD-2018-11354）、Google Android權限提升漏洞（CNVD-2018-11356、CNVD-2018-11480）、Google ChromeBlink UI欺騙漏洞（CNVD-2018-11482）、Google Chrome越界內存訪問漏洞（CNVD-2018-11486）、Google ChromeSkia堆緩沖區溢出漏洞（CNVD-2018-11495）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft Windows 10、Windows Server2016、Windows 7 SP1、Windows Server Version 1803、Windows 7等都是一系列操作系統。上周，上述產品被披露存在權限提升和遠程代碼執行漏洞，攻擊者可利用漏洞提升權限或執行任意代碼。

　　CNVD收錄的相關漏洞包括：MicrosoftWindows Desktop Bridge權限提升漏洞（CNVD-2018-11545）、MicrosoftWindows Kernel權限提升漏洞（CNVD-2018-11546）、Microsoft Windows Win32k組件權限提升漏洞、MicrosoftWindows Kernel 'Win32k.sys'本地權限提升漏洞、Microsoft Windows DesktopBridge權限提升漏洞、Microsoft Windows遠程代碼執行漏洞（CNVD-2018-11554）、MicrosoftWindows HIDParser權限提升漏洞、Microsoft Windows遠程代碼執行漏洞（CNVD-2018-11572）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple Safari TechnologyPreview是一款瀏覽器。WebKit是KDE社區開發的一套開源Web瀏覽器引擎，目前被Apple Safari及Google Chrome等瀏覽器使用。Apple iOS是一套操作系統。Apple macOSHigh Sierra是一套專為Mac計算機所開發的專用操作系統。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Apple SafariTechnology Preview WebKit拒絕服務漏洞（CNVD-2018-11311）、Apple iOSMessages拒絕服務漏洞（CNVD-2018-11369）、Apple macOS High SierraAccessibility Framework信息泄露漏洞、Apple macOS High Sierra ATS類型混淆漏洞、Apple macOSHigh Sierra Firmware設備配置漏洞、Apple macOS High Sierra Bluetooth信息泄露漏洞、多款Apple產品FontParser內存破壞漏洞、Apple macOSHigh Sierra Hypervisor內存破壞漏洞。其中，“Apple macOS High SierraATS類型混淆漏洞、多款Apple產品FontParser內存破壞漏洞、Apple macOSHigh Sierra Hypervisor內存破壞漏洞” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Advantech WebAccess 'nvA1Media.ocx'堆棧緩沖區溢出漏洞

　　Advantech WebAccess是研華（Advantech）公司的一套基于瀏覽器架構的HMI/SCADA軟件。該軟件支持動態圖形顯示和實時數據控制，并提供遠程控制和管理自動化設備的功能。上周，AdvantechWebAccess被披露存在堆棧緩沖區溢出漏洞，攻擊者可利用漏洞在受影響設備環境中執行任意代碼，失敗的攻擊會造成拒絕服務。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Cisco被披露存在多個漏洞，攻擊者可利用漏洞獲取數據庫敏感信息，繞過安全功能限制，提升權限，執行任意代碼或發起拒絕服務攻擊。此外，Google、Microsoft、Apple等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行未授權的操作，提升權限，執行任意代碼或發起拒絕服務攻擊。另外，Advantech WebAccess被披露存在堆棧緩沖區溢出漏洞，攻擊者可利用漏洞在受影響設備環境中執行任意代碼，失敗的攻擊會造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、安全牛、芯論、51CTO、嘶吼RoarTalk、FreebuF.COM報道

責任編輯：韓希宇