国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞257个，互联网上出现“DicooglePACS文件包含漏洞、WordPress file-away插件文件泄露漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　华为开展“达芬奇项目” 人工智能硬件全面升级

　　华为可能推出数据中心芯片空间，与英伟达公司、AMD公司、英特尔公司共同竞争。以上几家公司近期都推出了针对数据中心的人工智能硬件。由于越来越多公司转向云服务，华为此次转型非常符合商业发展趋势。>>详细

　　中国信通院发布《2018大数据安全白皮书》

　　白皮书聚焦技术角度，给出大数据安全技术总体视图，分别从平台安全、数据安全和个人隐私安全三个方面梳理了大数据环境下面临的安全威胁以及相应的安全保障技术的发展情况。>>详细

　　加拿大银行家协会发布数字身份认证白皮书

　　白皮书认为理想的方案应该是“联合数字身份识别框架”，将个人身份信息存储在相互联通但是各自独立的系统中，为用户提供无缝体验。在联合数字识别框架下，不设置中央信息库，在进行个人身份认证时可以调用不同数据库中的信息。>>详细

　　技术观澜

　　通过电子邮件远程获取NTLM哈希

　　尽管NTLM认证已有二十多年的历史，但它们经常被忽视，存在与NTLM认证相关的安全风险。利用这些漏洞的门槛是非常低的，并给企业组织带来了严重的风险，特别是从内部威胁的角度来看，或者是一个被入侵的帐户场景来看。>>详细

　　高级加密标准（AES）分析

　　我们来详细认识一下在密码学中占据重要位置的AES加密标准，在密码学中又称为Rijindael加密法。首先AES是用来替代原先的DES，是美国NIST发布，俨然已经成为对称密钥中最流行的算法之一。>>详细

　　如何在15分钟内构建一个无服务器服务？

　　亚马逊在2015年发布了AWS Lambda服务之后，出现了许多工具，利用这些工具只需几个命令就可以建个无服务器服务。与传统的服务相比，无服务器服务具有容易开发、容易部署、容易维护的特点。它们的性价比还非常高，特别是对于那些没有太大流量的简单服务。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年07月09日-2018年07月15日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞257个，其中高危漏洞76个、中危漏洞176个、低危漏洞5个。漏洞平均分值为5.92。上周收录的漏洞中，涉及0day漏洞101个（占39%），其中互联网上出现“DicooglePACS文件包含漏洞、WordPress file-away插件文件泄露漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Adobe产品安全漏洞

　　Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为AcrobatReader)是一款PDF文件阅读软件。上周，上述产品被披露存在堆溢出漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Adobe Acrobat和Reader堆溢出漏洞（CNVD-2018-12938、CNVD-2018-12942、CNVD-2018-12943、CNVD-2018-13063、CNVD-2018-13064、CNVD-2018-13065、CNVD-2018-13066、CNVD-2018-13067）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

　　CNVD收录的相关漏洞包括：Google AndroidMediaTek组件权限提升漏洞（CNVD-2018-13158、CNVD-2018-13159、CNVD-2018-13160、CNVD-2018-13163、CNVD-2018-13164、CNVD-2018-13165、CNVD-2018-13167、CNVD-2018-13168）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Microsoft Windows 10是美国微软（Microsoft）公司发布的一套新一代跨平台操作系统，它适用于PC和笔记本电脑、平板电脑以及手机等设备。Edge是其中的一个系统附带的默认浏览器。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码，从而可获得与当前用户相同的用户权限。

　　CNVD收录的相关漏洞包括：Microsoft Edge内存破坏漏洞（CNVD-2018-12883、CNVD-2018-12884、CNVD-2018-12885、CNVD-2018-12886、CNVD-2018-12887、CNVD-2018-12888）、Microsoft EdgeChakra脚本引擎内存破坏漏洞（CNVD-2018-12889、CNVD-2018-12890）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Huawei产品安全漏洞

　　Huawei Mate 8、Huawei Mate 9、Huawei Mate 10、Huawei LYO-L21、HuaweiBerlin-L21HN和Prague-AL00A等都是智能手机产品。Huawei IPS Module是一款IPS安全设备。NGFW Module是一款防火墙设备。NIP6300等是下一代入侵防御系统。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行远程代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Huawei Mate 10拒绝服务漏洞、多款Huawei产品内存泄露漏洞（CNVD-2018-12787）、多款Huawei手机信息泄露漏洞、Huawei Mate 9Pro GPU驱动任意内存释放漏洞、多款Huawei手机拒绝服务漏洞、Huawei Mate 9Pro手机短信息模块拒绝服务漏洞、Huawei LYO-L21手机权限提升漏洞、Huawei Mate 10手机内存错误引用漏洞。其中，“多款Huawei手机信息泄露漏洞、Huawei Mate 9Pro GPU驱动任意内存释放漏洞、Huawei Mate 9 Pro手机短信息模块拒绝服务漏洞、Huawei LYO-L21手机权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　D-Link DIR-620路由器操作系统命令注入漏洞

　　D-link DIR-620是友讯（D-Link）公司的一款无线路由器产品。上周，D-link DIR-620被披露存在命令注入漏洞，该漏洞源于程序未能正确的处理传递到index.cgi文件的’res_buf’参数。攻击者可利用该漏洞执行操作系统命令。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Adobe被披露存在堆溢出漏洞，攻击者可利用漏洞执行任意代码。此外，Google、Microsoft、Huawei等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行远程代码或发起拒绝服务攻击等。另外，D-Link DIR-620路由器操作系统命令注入漏洞，攻击者可利用该漏洞执行操作系统命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、搜狐科技、环球网、移动支付网、CSDN、FreebuF.COM、嘶吼RoarTalk报道

责任编辑：韩希宇