国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞348个,互联网上出现“多款ASUS产品Asuswrt-Merlin固件栈缓冲区溢出漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
奋斗了五年的中国集成电路 取得了怎样的成绩?
集成电路作为信息技术产业的核心,是支撑经济社会发展和保障国家安全的战略性、基础性和先导性产业,是培育发展战略性新兴产业、推动信息化和工业化深度融合的基础,同时也是工业强基工程的重要支撑。>>详细
网联细化支付机构接入要求大中小型各不相同
网联表示,将采取“平台分配”、“跨地域接入”和“跨运营商”的三大接入原则。网联平台将根据机构数据中心的位置进行分配,就近接入平台的数据中心。同时,机构必须至少接入平台异地的两个数据中心,以及至少选择2家不同的运营商。>>详细
技术观澜
研究者利用TrustZone将安卓设备降级
攻击者可以将Android TrustZone技术的组件降级到具有已知漏洞的旧版本,并对运行最新操作系统的智能手机使用较旧的漏洞。>>详细
【硬件安全】通过DMA攻击UEFI
与Mac不同,许多PC可能易受到针对UEFI的预引导直接内存访问(DMA)攻击。如果在配置了安全引导的系统上发生攻击,那么信任链就会损坏,安全引导会变得不安全。>>详细
Apache Struts2插件高危漏洞(S2-052)
当使用带有XStream处理程序的Struts REST插件来处理XML有效负载时,可能会发生远程执行代码攻击。>>详细
全球最隐秘的十种恶意攻击
作为回应,黑客开始盗取合法的全局信任代码签名证书,并用这些证书签署自己的恶意软件。如此一来,用户就会得到伪装成合法程序或更新的木马,并毫不知情地安装到系统中。>>详细
安全威胁播报
上周漏洞基本情况
上周(2017年08月28日-2017年09月03日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞348个,其中高危漏洞108个、中危漏洞215个、低危漏洞25个。漏洞平均分值为5.94。上周收录的漏洞中,涉及0day漏洞66个(占19%),其中互联网上出现“多款ASUS产品Asuswrt-Merlin固件栈缓冲区溢出漏洞”等零日代码攻击漏洞。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1641个,与上周(1483个)环比增长11%。
上周重要漏洞安全告警
Google产品安全漏洞
Android是美国谷歌公司和开放手持设备联盟共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在拒绝服务和远程代码执行漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。
CNVD收录的相关漏洞包括:Android Mediaframework avc decoder远程代码执行漏洞、Android Media frameworkh263 decoder远程代码执行漏洞、Android Media framework libavc拒绝服务漏洞、Android Mediaframework libavc远程代码执行漏洞、Android Media frameworklibavc远程代码执行漏洞(CNVD-2017-23413)、Android Media frameworklibhevc远程代码执行漏洞、Android Media framework libmpeg2远程代码执行漏洞、Android Mediaframework mpeg2 decoder远程代码执行漏洞。上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Microsoft产品安全漏洞
Microsoft Windows 10是美国微软公司发布的一套新一代跨平台操作系统。Microsoft Edge是其中的一款系统附带的Web浏览器。JavaScriptengines是其中的一个JavaScript引擎组件。上周,上述产品被披露存在内存破坏和远程代码执行漏洞,攻击者可利用漏洞执行任意的代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Microsoft Edge内存破坏漏洞(CNVD-2017-24167、CNVD-2017-24168、CNVD-2017-24169、CNVD-2017-24170)、MicrosoftWindows Edge JavaScript引擎远程代码执行漏洞(CNVD-2017-23797、CNVD-2017-23798、CNVD-2017-23799、CNVD-2017-23800)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Advantech产品安全漏洞
Advantech WebAccess是研华(Advantech)公司的一套基于浏览器架构的HMI/SCADA软件。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过身份验证、执行任意代码或提升权限等。
CNVD收录的相关漏洞包括:AdvantechWebAccess HEAP缓冲区溢出漏洞、Advantech WebAccess堆栈缓冲区溢出漏洞、AdvantechWebAccess缓冲区溢出漏洞(CNVD-2017-238855)、Advantech WebAccess权限提升漏洞、AdvantechWebAccess未授权操作漏洞、Advantech WebAccess验证绕过漏洞、AdvantechWebAccess任意代码执行漏洞(CNVD-2017-23882、CNVD-2017-23878)。除“AdvantechWebAccess任意代码执行漏洞(CNVD-2017-23878)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Oracle产品安全漏洞
Oracle Financial ServicesApplications是美国甲骨文(Oracle)公司的一套集核心银行、网上银行和财产管理于一身的金融服务软件。
Oracle SunSystems Products Suite是一款Sun系统产品套件。Oracle FusionMiddleware是一套面向企业和云环境的业务创新平台。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。Outside InTechnology是其中的一个软件开发工具包组件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的可用性、保密性和完整性。
CNVD收录的相关漏洞包括:OracleFLEXCUBE Private Banking未授权读取漏洞、Oracle FLEXCUBE PrivateBanking未授权访问漏洞、Oracle FLEXCUBE Universal Banking未授权操作漏洞(CNVD-2017-24334、CNVD-2017-24342)、Oracle OutsideIn Technology远程漏洞(CNVD-2017-24347、CNVD-2017-24348)、Oracle Solaris远程漏洞(CNVD-2017-24337)、OracleWebLogic Server远程漏洞(CNVD-2017-24344)。其中,“Oracle Solaris远程漏洞(CNVD-2017-24337)、OracleWebLogic Server远程漏洞(CNVD-2017-24344)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Siemens LOGO!8 BM中间人攻击漏洞
LOGO!8是西门子第8代智能逻辑控制器。上周,Siemens被披露存在中间人攻击漏洞,攻击者可利用漏洞解密或修改网络流量。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结
上周,Google被披露存在拒绝服务和远程代码执行漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。此外,Microsoft、Advantech、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击等。另外,Siemens被披露存在中间人攻击漏洞,攻击者可利用漏洞解密或修改网络流量。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合中国支付网、人民邮电报、黑白之道、安全牛、CFCA信息安全实验室报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。