国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞534个,互联网上出现“iTech Gigs Script SQL注入漏洞、Vastal I-Tech Agent ZoneSQL注入漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
国产SM2与SM9数字签名标准上升为国际标准
10月30日至11月3日,第55次ISO/IEC信息安全分技术委员会(SC27)会议在德国柏林召开。我国SM2与SM9数字签名算法一致通过为国际标准,正式进入标准发布阶段,这也是本次SC27会议上密码与安全机制工作组通过的唯一进入发布阶段的标准项目。>>详细
半导体产业高景气 国产替代进入黄金时代
随着摩尔定律演进速度放缓,集成电路产业发展将从技术驱动走向应用驱动。2017年ISSCC的主题是Intelligent Chips for A Smart World,从中可以看出物联网和人工智能是集成电路未来的发展方向。未来半导体新增长点主要来自:物联网、智能汽车、VR/AR、5G、人工智能等应用。>>详细
英媒:中国取代美国成为世界拥有超级计算机数量最多的国家
中国目前拥有202个全球最高性能计算机。相比之下美国只有143个,这是美方自25年前调查研究开始以来的最低水平,但仍保持第二位。日本拥有35个超级计算机位列第三,德国有20个排名第四。>>详细
中国人工智能标准化体系建设提速
所谓智能化分级,就是对人工智能产品的智能水平进行评估。以智能音箱为例,评估其智能水平将在不同的应用场景下,检测音箱的感知能力、交互能力等,考虑如语音唤醒的灵敏度、准确度,语音理解等指标。>>详细
技术观澜
如何跨虚拟机实现Row Hammer攻击和权限提升
如果他们知道私密文件的内容,那么他们可以利用比特翻转来加载私密文件(比如authorized_keys),并通过削弱authorized_keys文件中的RSA模块,他们能够生成相应的私钥并在共同托管的受害者VM上进行身份验证。>>详细
Intel芯片架构中TEE的实现技术之SGX开发环境简介及搭建
SGX的保护是针对应用程序的地址空间的。SGX利用处理器提供的指令,在内存中划分处一部分区域(EPC)并将应用程序地址空间中的Enclave映射到这部分内存区域。这部分内存区域是加密的,通过CPU中的内存控制单元进行加密和地址转化。>>详细
PostMessage跨域漏洞
总体的思路就是站点监听着一个message,并且没有判断message的来源,导致可以给他发message,message中有websocket的url的话,站点会和发送message的站点建立websocket链接,兵器会把认证后的token传递给发送者站点。>>详细
安全威胁播报
上周漏洞基本情况
上周(2017年11月06日-2017年11月12日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞534个,其中高危漏洞153个、中危漏洞333个、低危漏洞48个。漏洞平均分值为5.93。上周收录的漏洞中,涉及0day漏洞71个(占13%),其中互联网上出现“iTech Gigs Script SQL注入漏洞、Vastal I-Tech Agent ZoneSQL注入漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数638个,与前周(832个)环比下降23%。
上周重要漏洞安全告警
Apple产品安全漏洞
Apple iOS等都是美国苹果(Apple)公司的产品。Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。iCloud forWindows是一款基于Windows平台的云服务。WebKit是其中的一个Web浏览器引擎组件。上周,上述产品被披露存在远程代码执行和内存破坏漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:多款Apple产品WebKit组件远程代码执行漏洞(CNVD-2017-33557、CNVD-2017-33558、CNVD-2017-33559、CNVD-2017-33560、CNVD-2017-33561、CNVD-2017-33562)、多款Apple产品WebKit组件内存破坏漏洞(CNVD-2017-32835、CNVD-2017-32836)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Google产品安全漏洞
Android是美国谷歌公司的一套以Linux为基础的开源操作系统。Mediaframework是其中的一个用于多媒体开发框架。Broadcom Wi-Fi driver是其中的一个Wi-Fi驱动模块。上周,上述产品被披露存在权限提升和拒绝服务漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Google AndroidBroadcom wifi权限提升漏洞、Google Android HTC bootloader权限提升漏洞(CNVD-2017-32979)、Google AndroidHuawei bootloader权限提升漏洞、Google Android Media Framework拒绝服务漏洞(CNVD-2017-33337、CNVD-2017-33338、CNVD-2017-33339)、Google AndroidMediaTek soc driver权限提升漏洞、Google Android Motorola bootloader权限提升漏洞(CNVD-2017-32984)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Linux产品安全漏洞
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。上周,该产品被披露存在本地拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Linux kernel本地拒绝服务漏洞(CNVD-2017-33091、CNVD-2017-33092、CNVD-2017-33093、CNVD-2017-33094、CNVD-2017-33095、CNVD-2017-33096、CNVD-2017-33097、CNVD-2017-33098)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
产品安全漏洞
HP Intelligent ManagementCenter(IMC)是一个从底层构建的综合管理平台。上周,该产品被披露存在任意代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:HP IntelligentManagement Center任意代码执行漏洞(CNVD-2017-33288、CNVD-2017-33289、CNVD-2017-33290、CNVD-2017-33529、CNVD-2017-33530、CNVD-2017-33531、CNVD-2017-33532、CNVD-2017-33533)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Samsung NVR设备密码泄露漏洞
Samsung NVR devices是韩国三星(Samsung)公司的一款网络视频录像机设备。上周,Samsung被披露存在密码泄露漏洞,远程攻击者可利用该漏洞读取管理员账户的MD5密码散列,并登录设备。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结
上周,Apple被披露存在远程代码执行和内存破坏漏洞,攻击者可利用漏洞执行任意代码。此外,Google、Linux、HP等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击等。另外,Samsung被披露存在密码泄露漏洞,远程攻击者可利用该漏洞读取管理员账户的MD5密码散列,并登录设备。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、移动支付网、民生证券郑平团队、环球时报、经济参考报、安全客、安智客、小米安全中心报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。