國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞285個，互聯網上出現“TP-LinkTL-WR841N v13認證命令注入漏洞、Joomla! com_regionalm Icta Regional Museum SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　百度發布云端全功能AI芯片“昆侖”

　　李彥宏現場發布百度云端全功能AI芯片。李彥宏提到，這是中國第一款云端全功能AI芯片，是百度自主研發，芯片名字叫做昆侖。未來將應用于智能汽車、語音圖像等領域。>>詳細

　　清華28日成立人工智能研究院 張鈸院士出任院長

　　清華大學于6月28日召開清華-谷歌 AI 學術研討會，并同時舉行清華大學人工智能研究院成立儀式，中國科學院張鈸院士出任首任院長，同時聘請姚期智院士作為學術委員會主任。>>詳細

　　美光遭禁售！

　　DeepTech深科技分析稱，若美光供應給這些大廠的存儲產品涉及侵權問題，則在中國數據中心服務器存儲的最大供應貨源恐怕會陷入“急凍”狀態。>>詳細

　　技術觀瀾

　　微信支付SDK驚爆漏洞：黑客可0元購買任意商品

　　國外安全社區Seclists.Org里一名白帽子披露了微信支付官方SDK存在嚴重的XXE漏洞，可導致商家服務器被入侵，且黑客可避開真實支付通道，用虛假的支付通知來購買任意產品。>>詳細

　　從基礎到進階 長文解析微軟量子計算概念和算法（上）

　　我們談論的量子計算，是一個完全不同的領域。量子計算讓我們能夠以秒級、 小時級或者幾天的時間去解決那些以現在的技術需要花費上億年計算的問題，我們完全重新定義了所做計算的尺度。>>詳細

　　從基礎到進階 長文解析微軟量子計算概念和算法（下）

　　在相對論中，消息會馬上到達，但Bob不能真正地看信息，理解它，直到Alice向他發送另外兩條經典的信息。如果將這兩條經典信息加密，則需要將它們解碼。經典信息的傳輸速度比光慢。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年06月25日-2018年07月01日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞285個，其中高危漏洞107個、中危漏洞168個、低危漏洞10個。漏洞平均分值為6.25。上周收錄的漏洞中，涉及0day漏洞54個（占19%），其中互聯網上出現“TP-LinkTL-WR841N v13認證命令注入漏洞、Joomla! com_regionalm Icta Regional Museum SQL注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Adobe產品安全漏洞

　　Apple macOS High Sierra是為Mac計算機所開發的一套專用操作系統。Apple iOS是為移動設備所開發的一套操作系統；macOS HighSierra是一套專為Mac計算機所開發的專用操作系統；tvOS是一套智能電視操作系統；watchOS是一套智能手表操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Apple macOSHigh Sierra任意代碼執行漏洞（CNVD-2018-12162）、Apple macOS High Sierra內存破壞漏洞（CNVD-2018-12163、CNVD-2018-12164、CNVD-2018-12245）、多款apple產品拒絕服務漏洞（CNVD-2018-12165、CNVD-2018-12193、CNVD-2018-12194）、Apple macOSHigh Sierra NVIDIA Graphics驅動程序任意代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Cisco產品安全漏洞

　　Cisco NX-OS Software是一套面向數據中心的操作系統。Cisco AcanoX-Series、Meeting Server 1000和Meeting Server 2000都是視頻會議解決方案。Cisco Nexus2000 Series Switches是交換機設備。Cisco Firepower 4100 SeriesNext-Generation Firewalls是一款4100系列的防火墻設備。MDS 9000Series Multilayer Switches是一款交換機設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行遠程代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Cisco NX-OS任意命令執行漏洞、Cisco MeetingServer Web管理界面拒絕服務漏洞、多款Cisco產品NX-OS Software拒絕服務漏洞、多款Cisco產品NX-OS SoftwareNX-API management API權限提升漏洞、多款Cisco產品NX-OS Software緩沖區溢出漏洞、多款Cisco產品NX-OS Software任意命令執行漏洞、多款Cisco產品NX-OS SoftwareSNMP拒絕服務漏洞、多款Cisco產品拒絕服務漏洞（CNVD-2018-12392）。其中，除“Cisco NX-OS任意命令執行漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　Google Chrome是美國谷歌（Google）公司開發的一款Web瀏覽器。Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Google ChromeMedia Cache內存錯誤引用漏洞、Google Android WLAN緩沖區溢出漏洞（CNVD-2018-12402、CNVD-2018-12403）、Google AndroidSystem遠程代碼執行漏洞（CNVD-2018-12404、CNVD-2018-12406、CNVD-2018-12405）、Google AndroidSystem信息泄露漏洞（CNVD-2018-12407、CNVD-2018-12408）。其中，“Google ChromeMedia Cache內存錯誤引用漏洞、Google Android System遠程代碼執行漏洞（CNVD-2018-12404、CNVD-2018-12406、CNVD-2018-12405）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Mozilla產品安全漏洞

　　Mozilla Firefox是一款開源Web瀏覽器；Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從MozillaApplication Suite中獨立出來的一套電子郵件客戶端軟件。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞破壞內存，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：MozillaFirefox、Firefox ESR和Thunderbird內存破壞漏洞（CNVD-2018-12100）、MozillaFirefox Skia內存破壞漏洞、Mozilla Firefox、Firefox ESR和Thunderbird內存破壞漏洞（CNVD-2018-12102）、MozillaFirefox內存破壞漏洞（CNVD-2018-12101）、Mozilla Firefox和Firefox ESR內存錯誤引用漏洞（CNVD-2018-12395）、MozillaFirefox和Firefox ESR整數溢出漏洞（CNVD-2018-12396）、MozillaFirefox和Firefox整數溢出漏洞（CNVD-2018-12397）、MozillaFirefox和Firefox ESR雙重釋放漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　AsusWRT RT-AC750GF跨站請求偽造漏洞

　　RT-AC750GF是ASUS公司路由器產品。上周，AsusWRTRT-AC750GF被披露存在跨站請求偽造漏洞，攻擊者可利用漏洞更改管理員密碼。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Apple被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。此外，Cisco、Google、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，破壞內存，提升權限，執行遠程代碼或發起拒絕服務攻擊。另外，AsusWRT RT-AC750GF被披露存在跨站請求偽造漏洞，攻擊者可利用漏洞更改管理員密碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、新浪科技、CSDN、雷鋒網、芯論報道

責任編輯：韓希宇