国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞568个，互联网上出现“Wordpress插件image-gallery-with-slideshowSQL注入漏洞、EyesOfNetwork webinterface SQL注入漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　美国新一代信息技术安全标准研究发展状况及我国的启示

　　为探索新一代信息技术的安全应用，防范新一代信息技术可能的安全威胁，美国政府针对性地实施了多项研发战略和计划，抓紧研究新一代信息技术安全，包括关键基础设施安全、云计算安全、大数据安全、物联网安全、工业控制安全等，发布相关白皮书、技术指南、制定相关标准，支撑美国建立面向新一代信息技术的立体化信息安全保障体系。>>详细

　　美国银行业的新型木马“IcedID”

　　为了避免引起用户的怀疑，重定向过程中会在地址栏中保留目标银行的正确URL及对应的SSL证书。从这一点来看，攻击者在劫持受害者网络会话的过程中也用到了一定的社工技巧。>>详细

　　《2018NI趋势展望报告》全面解读未来技术趋势

　　NI作为致力于为工程师和科学家提供基于平台的系统解决方案来应对全球最严峻工程挑战的供应商,在10月26日，上海国际会议中心举行的NI Days 2017全球图形化系统设计盛会上，NI全球市场高级副总裁Ajit Gokhale重磅发布《2018NI趋势展望报告》(NI Trend Watch 2018)。>>详细

　　技术观澜

　　GP TEE需支持的加解密算法

　　简单说，就是先把文件分块，按数据块来进行加解密。DES，Data Encryption Algorithm,一种加密算法。3DES（Triple DES）它以DES为基本模块，通过组合分组方法设计出分组加密算法，更为安全。>>详细

　　SpookFlare:黑暗中前行

　　目前有很多可以避开安全产品检测的方法，SpookFlare提供了新的策略去实现这些，它可以让你避开无论是终端还是网络端的检测。SpookFlare是Meterpreter反向HTTP和HTTPS stage的加载器。>>详细

　　2017安卓应用第三方SDK威胁概况

　　Android系统中，也使用了大量的第三方SDK组件用于其系统底层的基础服务功能，例如蓝牙协议栈实现、HTTPS协议实现、音视频编解码等。然而，Google使用的这些第三方组件也时常会被爆出有高危漏洞，且鉴于Android系统的广泛流行性，影响也是巨大的。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年11月13日-2017年11月19日）信息安全漏洞威胁整体评价级别为高。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞568个，其中高危漏洞204个、中危漏洞323个、低危漏洞41个。漏洞平均分值为6.13。上周收录的漏洞中，涉及0day漏洞104个（占18%），其中互联网上出现“Wordpress插件image-gallery-with-slideshowSQL注入漏洞、EyesOfNetwork webinterface SQL注入漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数772个，与前周（638个）环比增长21%。

　　上周重要漏洞安全告警

　　Microsoft office组件安全漏洞Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。上周，该产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Microsoftoffice组件EQNEDT32.EXE存在内存破坏漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　Apple iOS、iCloud forWindows、iTunes for Windows、Safari和tvOS都是美国苹果（Apple）公司的产品。Apple iOS是一套为专移动设备所开发的一套操作系统；Safari是一款Web浏览器。WebKit是其中的一个Web浏览器引擎组件。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：多款Apple产品WebKit内存破坏漏洞（CNVD-2017-34326、CNVD-2017-34327、CNVD-2017-34328、CNVD-2017-34329、CNVD-2017-34330、CNVD-2017-34331、CNVD-2017-34332、CNVD-2017-34333）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apache产品安全漏洞

　　Apache CouchDB是美国阿帕奇软件基金会的一个数据库。Apache TrafficServer是一款HTTP代理和缓存服务器。Apache Storm是一套分布式实时计算系统。上周，该产品被披露存在远程代码执行和目录遍历漏洞，攻击者可利用漏洞执行任意代码或读取任意文件。

　　CNVD收录的相关漏洞包括：ApacheBrooklyn远程代码执行漏洞、Apache CouchDB权限提升漏洞、Apache CouchDB远程代码执行漏洞、Apache Jamesjava反序列化任意命令执行漏洞、Apache OpenNLP XXE漏洞、Apache Spark反序列化的程代码执行漏洞、Apache Storm目录遍历漏洞、Apache TrafficServer远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Huawei产品安全漏洞

　　Huawei RP200及TE系列及都是华为公司面向高端客户的一体化桌面智真产品及高清视频会议终端产品。HuaweiFusionSphere是基于OpenStack框架开发的云操作系统产品。HuaweiME906S-158是一款笔记本电脑。Huawei UMA是一款统一审计系统。Huawei VIE-L09是华一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起注入攻击等。

　　CNVD收录的相关漏洞包括：HuaweiFusionSphere SQL注入漏洞、Huawei FusionSphere命令注入漏洞、Huawei ME906S权限提升漏洞、Huawei UMA产品SQL注入漏洞、Huawei VIE-L09缓冲区溢出漏洞、多款Huawei产品越界读漏洞（CNVD-2017-34418、CNVD-2017-34419、CNVD-2017-34420）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Philips IntelliSpace Cardiovascular System and Xcelera Syste明文存储漏洞

　　Philips IntelliSpace Cardiovascular和Xcelera系统是全面的心脏影像和信息管理软件。上周，Philips被披露存在明文存储漏洞，具有较高特权的攻击者获得对数据的未经授权访问，包括患者健康信息，系统资源和误用连接资产。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Microsoftoffice组件被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。此外，Apple、Apache、Huawei等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起拒命令注入攻击等。另外，Philips被披露存在明文存储漏洞，具有较高特权的攻击者获得对数据的未经授权访问，包括患者健康信息，系统资源和误用连接资产。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、信息安全与通信保密、看雪学院、半导体行业观察、安智客、安全客报道

责任编辑：韩希宇