國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞230個，互聯網上出現“WordPress插件ChainedQuiz SQL注入漏洞、Hycus CMS認證繞過漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞并推出技術觀瀾，深入探討信息安全知識。

　　一周行業要聞速覽

　　北京大數據研究院發布“新一代指紋識別技術”等成果

　　“新一代指紋識別技術”解決方案，可在十億級別的指紋比對上實現實時高精度比對，是目前全球唯一能夠實現指紋比對完全自動化的技術，被指紋專家稱為“指紋技術的革命”。>>詳細

　　我國發布全球首款可見光通信芯片：有光即可上網

　　可見光通信技術綠色低碳、可實現近乎零耗能通信，還可有效避免無線電通信電磁信號泄露等弱點，快速構建抗干擾、抗截獲的安全信息空間。>>詳細

　　華為回應被澳大利亞禁入5G市場：極其令人失望

　　上月黃冀表示，華為不處理個人數據?！叭A為不擁有、不管理、不操作任何數據?！?gt;>詳細

　　技術觀瀾

　　淺談計算機中的存儲模型之物理內存

　　從進程開始，我們知道進程運行在內存中，每個進程都有自己獨立的內存地址空間，目的是安全和高效利用內存，一個進程的地址空間是抽象出來的，屬于虛擬內存，而內存分為虛擬內存和物理內存。>>詳細

　　通過內存轉儲打破Linux全盤加密保護

　　可以破解全盤加密的方法手段非常的多，但缺點是大部分這些方法都非常復雜，且操作起來費時費力。其中最簡單的方法就是對正在運行的VM進行內存轉儲，并從中提取加密密鑰。>>詳細

　　通過Unquoted service Path進行Windows權限提升

　　我們將通過Unquoted service Path演示Windows權限提升。在滲透測試中，當我們將命令shell作為本地用戶生成時，是無法檢查受限文件或文件夾的，因此我們需要升級權限才能獲得管理員訪問權限。>>詳細

　　安全威脅播報

　　上周漏洞基本情況

　　上周（2018年08月20日-2018年08月26日）信息安全漏洞威脅整體評價級別為中。

　　國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞230個，其中高危漏洞75個、中危漏洞152個、低危漏洞3個。漏洞平均分值為6.51。上周收錄的漏洞中，涉及0day漏洞44個（占19%），其中互聯網上出現“WordPress插件ChainedQuiz SQL注入漏洞、Hycus CMS認證繞過漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　Cisco產品安全漏洞

　　Cisco Firepower System是CiscoFirepower下一代防火墻使用的系統。Cisco Policy Suite是電信級策略、收費及用戶數據管理解決方案。Cisco IP Phone6800、7800和8800 Series都不同系列的IP電話產品。MultiplatformFirmware是運行在其中的一套支持多平臺的防火墻軟件。Cisco FireSIGHT System是一套集成的網絡安全和流量管理產品，可部署在專用平臺上或可作為軟件解決方案。Cisco WebSecurityAppliance（WSA）是一套Web安全設備。Cisco DNACenter是一個完整的基于軟件的網絡自動化和保障解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，提升權限，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Cisco PolicySuite Policy Builder認證繞過漏洞、Cisco Policy Suite Policy Builder訪問繞過漏洞、CiscoFirepower System拒絕服務漏洞（CNVD-2018-16067）、Cisco IP Phone6800、7800、8800系列命令注入漏洞、CiscoFireSIGHT System遠程安全繞過漏洞、Cisco FireSIGHT System遠程安全繞過漏洞（CNVD-2018-16069）、Cisco WebSecurity Appliance權限提升漏洞（CNVD-2018-16179）、Cisco DigitalNetwork Architecture (DNA) Center命令注入漏洞。其中，“Cisco IP Phone6800、7800、8800系列命令注入漏洞、Cisco WebSecurity Appliance權限提升漏洞（CNVD-2018-16179）、Cisco DigitalNetwork Architecture (DNA) Center命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Microsoft產品安全漏洞

　　Microsoft .NET Framework是一種全面且一致的編程模型，也是一個用于構建Windows、Windows Store、Windows Phone、WindowsServer和MicrosoftAzure的應用程序的開發平臺。該平臺包括C#和Visual Basic編程語言、公共語言運行庫和廣泛的類庫。MicrosoftChakraCore是一個Edge（Web瀏覽器）所使用的JavaScript引擎的核心部分。InternetExplorer是一款網頁瀏覽器。原稱Microsoft Internet Explorer(6版本以前)和WindowsInternet Explorer(7、8、9、10、11版本)，簡稱IE。Edge是微軟為Windows 10打造的瀏覽器。MicrosoftWindows 10等都是操作系統。Edge和Internet Explorer（IE）都是其中的瀏覽器。前者是最新操作系統Windows 10附帶的默認瀏覽器，后者是Windows 10之前操作系統附帶的默認瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲提升權限，執行任意代碼，破壞內存。

　　CNVD收錄的相關漏洞包括：Microsoft .NETFramework遠程代碼執行漏洞（CNVD-2018-15849、CNVD-2018-15850）、MicrosoftChakraCore遠程代碼執行漏洞（CNVD-2018-15861、CNVD-2018-15862）、MicrosoftInternet Explorer和Edge腳本引擎內存破壞漏洞（CNVD-2018-15916、CNVD-2018-16174、CNVD-2018-16175）、MicrosoftInternet Explorer和Edge權限提升漏洞（CNVD-2018-15915）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Google產品安全漏洞

　　安卓（Android）是一種基于Linux的自由及開放源代碼的操作系統，由谷歌公司和開放手機聯盟領導及開發。GoogleChromium是一款Web瀏覽器。Electron是使用在其中的一個使用JavaScript、HTML和CSS等Web技術創建桌面應用程序的框架。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Google AndroidQualcomm組件權限提升漏洞（CNVD-2018-16191、CNVD-2018-16190）、GoogleChromium Electron遠程代碼執行漏洞、Google Android Qualcomm組件權限提升漏洞（CNVD-2018-16194、CNVD-2018-16193）、Google AndroidQualcomm組件遠程代碼執行漏洞（CNVD-2018-16192）、Google Android System信息泄露漏洞（CNVD-2018-16197）、Google AndroidQualcomm組件信息泄露漏洞（CNVD-2018-16195）。其中，除“Google AndroidSystem信息泄露漏洞（CNVD-2018-16197）、Google Android Qualcomm組件信息泄露漏洞（CNVD-2018-16195）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

　　Quest產品安全漏洞

　　Quest DR系列是磁盤存儲和重復數據刪除設備。上周，該產品被披露存在權限提升和命令注入漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

　　CNVD收錄的相關漏洞包括：Quest DR系列磁盤備份軟件命令注入漏洞（CNVD-2018-15622、CNVD-2018-15865）、Quest DR系列磁盤備份軟件權限提升漏洞（CNVD-2018-15897、CNVD-2018-15903、CNVD-2018-15910、CNVD-2018-15909、CNVD-2018-15912、CNVD-2018-15911）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　GhostScript沙箱繞過(命令執行)漏洞

　　GhostScript是PostScript和可移植文檔格式（PDF）文件的解釋器。上周，GhostScript被披露存在沙箱繞過(命令執行)漏洞。攻擊者可以利用該漏洞造成命令執行。目前，廠商尚未發布漏洞修補程序。

　　小結

　　上周，Cisco被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，提升權限，執行任意代碼。此外，Microsoft、Google、Quest等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，破壞內存等。另外，GhostScript被披露存在沙箱繞過(命令執行)漏洞。攻擊者可以利用該漏洞造成命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

　　中國電子銀行網綜合CNVD、中國新聞網、環球網、新浪科技、51CTO、嘶吼RoarTalk、FreebuF.COM報道

責任編輯：韓希宇