國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞213個，互聯網上出現“Ericsson-LGiPECS NMS 30M目錄遍歷漏洞、Adobe Reader PDF本地請求注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　特朗普簽署法案禁止政府使用華為和中興部分技術

　　禁令包括華為和中興的零部件或是對采用這些零部件系統“至關重要”的服務。不過，這些公司的許多零部件仍然是被允許使用的，前提是它們不被用于路由或查看數據。>>詳細

　　自主研發國產瀏覽器內核紅芯宣布獲2.5億融資

　　放眼世界上四大主流瀏覽器內核（微軟IE瀏覽器內核Trident、谷歌Chrome瀏覽器內核Blink、蘋果Safari內核Webkit、火狐瀏覽器內核Gecko）皆為國外所有。>>詳細

　　中國礦機芯片廠商全球發7nm芯片惹爭議

　　從用途來看，新品是一款專門用于“挖礦”的定制型的ASIC芯片。換而言之，即是一款針對特定領域的定制型芯片，計算能力和計算效率都直接根據特定的算法的需要進行定制。>>詳細

　　技術觀瀾

　　如何構建真實世界可用的ML模型？

　　在真實世界中，我們經常需要將模型進行服務化。這里我們借助 flask 框架，將 sklearn 訓練后生成的模型文件加載到內存中，針對每次請求傳入不同的特征來實時返回不同的預測結果。>>詳細

　　利用蜜罐從惡意網站中找出檢測繞過代碼

　　越來越多的惡意網站開始使用復雜的避免被傳統的安全技術檢測到。攻擊者的目標包括惡意軟件傳播、數據泄露、修改和比特幣挖礦。>>詳細

　　如何使用Python構建PC通信？

　　隨著物聯網的興起，越來越多的傳統工業設備需要和外界通信，但很多情況下，類似PLC的微控制器經常會由于自身硬件因素而無法與外界直接互聯互通。PC作為一個中介橋梁，為PLC與外界的溝通打開了一扇門。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年08月06日-2018年08月12日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞213個，其中高危漏洞66個、中危漏洞144個、低危漏洞3個。漏洞平均分值為6.27。上周收錄的漏洞中，涉及0day漏洞63個（占30%），其中互聯網上出現“Ericsson-LGiPECS NMS 30M目錄遍歷漏洞、Adobe Reader PDF本地請求注入漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Foxit產品安全漏洞

　　FFoxit Reader（舊名：Foxit PDFReader）是一套用來閱讀PDF格式文件的軟件。FoxitReader是一套自由使用的軟件，操作系統主要以MicrosoftWindows為主，且只要有Win32執行環境的操作系統上皆可使用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Foxit Reader類型混淆遠程代碼執行漏洞（CNVD-2018-15068、CNVD-2018-15067、CNVD-2018-15070、CNVD-2018-15069、CNVD-2018-15071）、Foxit Reader任意文件寫入遠程代碼執行漏洞（CNVD-2018-15093）、Foxit PDFReader JavaScript引擎內存錯誤引用漏洞（CNVD-2018-15095、CNVD-2018-15096）。其中，“Foxit Reader任意文件寫入遠程代碼執行漏洞（CNVD-2018-15093）、Foxit PDFReader JavaScript引擎內存錯誤引用漏洞（CNVD-2018-15095、CNVD-2018-15096）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Adobe產品安全漏洞

　　Adobe Acrobat是一款PDF編輯軟件。Adobe Reader(也被稱為AcrobatReader)是一款PDF文件閱讀軟件。上周，上述產品被披露存在越界寫入漏洞，攻擊者可利用漏洞執行任意代碼。

　　CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader越界寫入漏洞（CNVD-2018-14926、CNVD-2018-14927、CNVD-2018-14928、CNVD-2018-14929、CNVD-2018-14932、CNVD-2018-14930、CNVD-2018-14931、CNVD-2018-14933）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Apple產品安全漏洞

　　Apple iOS是為移動設備所開發的一套操作系統。macOS是為Mac系列產品開發的專屬操作系統。Apple Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。Safari是其中的一個用于Safari瀏覽器的專用組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：Apple iOSWi-Fi內存破壞漏洞、Apple Safari地址欄欺騙漏洞（CNVD-2018-14959）、Apple iOS拒絕服務漏洞（CNVD-2018-14961）、Apple macOS/OSX敏感信息泄露漏洞、Apple iOS任意代碼執行漏洞（CNVD-2018-14963）、Apple macOS/OSX提權漏洞、Apple macOS/OS X敏感信息泄露漏洞（CNVD-2018-14965）、Apple iOS信息泄露漏洞（CNVD-2018-14968）。其中，“Apple iOSWi-Fi內存破壞漏洞、Apple iOS任意代碼執行漏洞（CNVD-2018-14963）、Apple macOS/OSX提權漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Mozilla產品安全漏洞

　　Mozilla Firefox是一款開源Web瀏覽器，Firefox ESR是Firefox的一個延長支持版本。Thunderbird是從MozillaApplication Suite中獨立出來的一套電子郵件客戶端軟件。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞越邊界讀取內存數據，執行任意代碼或發起拒絕服務攻擊。

　　CNVD收錄的相關漏洞包括：多款Mozilla產品內存破壞漏洞、多款Mozilla產品越界寫入漏洞、多款Mozilla產品越邊界讀取漏洞（CNVD-2018-14973）、多款Mozilla產品緩沖區溢出漏洞（CNVD-2018-14974）、多款Mozilla產品內存錯誤引用漏洞（CNVD-2018-14971、CNVD-2018-14972）、MozillaFirefox和Firefox ESR拒絕服務漏洞（CNVD-2018-14985）、MozillaFirefox和Firefox ESR內存破壞漏洞（CNVD-2018-14986）。其中，除“多款Mozilla產品緩沖區溢出漏洞（CNVD-2018-14974）、MozillaFirefox和Firefox ESR拒絕服務漏洞（CNVD-2018-14985）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Samsung Syncthru Web Service跨站請求偽造漏洞

　　Samsung Syncthru WebService是韓國三星（Samsung）公司的一款用于打印機的網絡同步服務。上周，Samsung Syncthru WebService被披露存在跨站請求偽造漏洞。遠程攻擊者可利用該漏洞執行未授權的操作。

　　小結

　　上周，Foxit被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Adobe、Apple、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼或發起拒絕服務攻擊。另外，Samsung Syncthru WebService跨站請求偽造漏洞，遠程攻擊者可利用該漏洞執行未授權的操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、新浪科技、一財網、快科技、CSDN、嘶吼RoarTalk報道　　

責任編輯：韓希宇