国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞302个,互联网上出现“MACCMS 10跨站请求伪造漏洞、WordPress Pie Register插件SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
西班牙电信和华为实现量子密钥分发新突破
QKD的原理是传输特定量子态下的光子,对量子进行测量会干扰其状态,因此窃听者拦截光子的任何企图都会被发现,这样就可以抛弃密钥,从而不存在被黑的风险。>>详细
中国批准高通收购恩智浦!高通博通同时大裁员!
服务器芯片部门的机会在于蜂窝基站高能耗芯片,这种芯片是蜂窝基站的关键组成部门,它通过无线连接为手机提供处理能力。有了这种芯片的支持,手机可以加入VR/AR功能,提供无与伦比的体验。>>详细
口令末日即将到来FIDO将其无口令标准推向欧洲
FIDO标准是去中心化的,生物特征从不离开设备。而GDPR将生物特征定为敏感数据,所以FIDO标准从设计上就是符合GDPR隐私要求的。>>详细
技术观澜
史上最全无线网桥知识 收藏这一篇就够了!
从作用上来理解无线网桥,它可以用于连接两个或多个独立的网络段,这些独立的网络段通常位于不同的建筑内,相距几百米到几十公里,可以广泛应用在不同建筑物间的互联。>>详细
对银行木马DanaBot的Javascript Downloader分析
本文分析的downloader(下载器)被用于将DanaBot(银行木马)安装到用户系统上。普通的Javascript downloader并不难分析,但是DanaBot的Javascript Downloader使用了有很多混淆技术。>>详细
隐藏在ARM处理器深处的神秘力量
在现代操作系统中,系统运行的内核空间和应用程序的用户空间相互隔离,以保证操作系统的稳定性。以运行Linux内核的ARM终端为例,内核空间和用户空间拥有不同的页表信息,并保存于不同的硬件寄存器。>>详细
安全威胁播报
上周漏洞基本情况
上周(2018年06月11日-2018年06月17日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞302个,其中高危漏洞109个、中危漏洞179个、低危漏洞14个。漏洞平均分值为6.28。上周收录的漏洞中,涉及0day漏洞74个(占25%),其中互联网上出现“MACCMS 10跨站请求伪造漏洞、WordPress Pie Register插件SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Cisco产品安全漏洞
Cisco Prime Collaboration Provisioning(PCP)是一套基于Web的下一代通信服务软件。CiscoFirepower Threat Defense是一套运行在防火墙中的软件。detection engine是其中的一个检测引擎。Cisco PrimeCollaboration Provisioning(PCP)是一套基于Web的下一代通信服务软件。CiscoAppDynamics App iQ Platform是一款实时应用程序和业务性能监控解决方案。Cisco Wide AreaApplication Services(WAAS)Software是一套广域网链路加速软件。Disk CheckTool(disk-check.sh)是其中的一个磁盘检查工具。Cisco IOS XE Software是一套为其网络设备开发的操作系统。Cisco IP Phone6800、7800和8800 Series Phones都是美国思科(Cisco)公司的不同系列的IP电话产品。MultiplatformFirmware是其中的一套支持多平台的防火墙软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取数据库敏感信息,绕过安全功能限制,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Cisco Prime CollaborationProvisioning SQL注入漏洞(CNVD-2018-11254)、CiscoFirepower Threat Defense software远程安全绕过漏洞、Cisco IP Phone8800 Series和IP Phone 7800 Series拒绝服务漏洞、Cisco WebSecurity Appliance AsyncOS安全绕过漏洞、Cisco AppDynamics App iQ Platform SQL注入漏洞、Cisco WideArea Application Services(WAAS)软件权限提升漏洞、Cisco IOS XESoftware缓冲区溢出漏洞、Cisco IP Phone 6800、7800和8800 SeriesPhones拒绝服务漏洞,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行未授权的操作,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Google ChromeV8类型混淆漏洞(CNVD-2018-11352)、Google Chrome PDFium堆缓冲区溢出漏洞(CNVD-2018-11353)、Google Chrome权限提升漏洞(CNVD-2018-11354)、Google Android权限提升漏洞(CNVD-2018-11356、CNVD-2018-11480)、Google ChromeBlink UI欺骗漏洞(CNVD-2018-11482)、Google Chrome越界内存访问漏洞(CNVD-2018-11486)、Google ChromeSkia堆缓冲区溢出漏洞(CNVD-2018-11495)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Microsoft Windows 10、Windows Server2016、Windows 7 SP1、Windows Server Version 1803、Windows 7等都是一系列操作系统。上周,上述产品被披露存在权限提升和远程代码执行漏洞,攻击者可利用漏洞提升权限或执行任意代码。
CNVD收录的相关漏洞包括:MicrosoftWindows Desktop Bridge权限提升漏洞(CNVD-2018-11545)、MicrosoftWindows Kernel权限提升漏洞(CNVD-2018-11546)、Microsoft Windows Win32k组件权限提升漏洞、MicrosoftWindows Kernel 'Win32k.sys'本地权限提升漏洞、Microsoft Windows DesktopBridge权限提升漏洞、Microsoft Windows远程代码执行漏洞(CNVD-2018-11554)、MicrosoftWindows HIDParser权限提升漏洞、Microsoft Windows远程代码执行漏洞(CNVD-2018-11572)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
Apple Safari TechnologyPreview是一款浏览器。WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被Apple Safari及Google Chrome等浏览器使用。Apple iOS是一套操作系统。Apple macOSHigh Sierra是一套专为Mac计算机所开发的专用操作系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Apple SafariTechnology Preview WebKit拒绝服务漏洞(CNVD-2018-11311)、Apple iOSMessages拒绝服务漏洞(CNVD-2018-11369)、Apple macOS High SierraAccessibility Framework信息泄露漏洞、Apple macOS High Sierra ATS类型混淆漏洞、Apple macOSHigh Sierra Firmware设备配置漏洞、Apple macOS High Sierra Bluetooth信息泄露漏洞、多款Apple产品FontParser内存破坏漏洞、Apple macOSHigh Sierra Hypervisor内存破坏漏洞。其中,“Apple macOS High SierraATS类型混淆漏洞、多款Apple产品FontParser内存破坏漏洞、Apple macOSHigh Sierra Hypervisor内存破坏漏洞” 的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Advantech WebAccess 'nvA1Media.ocx'堆栈缓冲区溢出漏洞
Advantech WebAccess是研华(Advantech)公司的一套基于浏览器架构的HMI/SCADA软件。该软件支持动态图形显示和实时数据控制,并提供远程控制和管理自动化设备的功能。上周,AdvantechWebAccess被披露存在堆栈缓冲区溢出漏洞,攻击者可利用漏洞在受影响设备环境中执行任意代码,失败的攻击会造成拒绝服务。目前,厂商尚未发布漏洞修补程序。
小结
上周,Cisco被披露存在多个漏洞,攻击者可利用漏洞获取数据库敏感信息,绕过安全功能限制,提升权限,执行任意代码或发起拒绝服务攻击。此外,Google、Microsoft、Apple等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行未授权的操作,提升权限,执行任意代码或发起拒绝服务攻击。另外,Advantech WebAccess被披露存在堆栈缓冲区溢出漏洞,攻击者可利用漏洞在受影响设备环境中执行任意代码,失败的攻击会造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、安全牛、芯论、51CTO、嘶吼RoarTalk、FreebuF.COM报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。