中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞109个，互联网上出现“WePresentWiPG-1500后门漏洞、WordPress Adminer插件允许公共管理(本地)数据库登录漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，并特约中国金融认证中心（CFCA）信息安全专家对漏洞风险作出点评和建议。

　　2017年公安部部署的网络安全大检查开始了 6月份很关键

　　此次执法检查自今年3月至9月在全国各地开展，为期6个月，以党政机关、重要行业、国有企事业单位、大型信息技术和互联网企业为重点保卫目标，以国家关键信息基础设施为重点保卫对象，将采取自查自评、技术检测、现场检查、跟踪督办、复合检测相结合的方式，全面梳理摸排国家关键信息基础设施，检测排查并督促整改网络安全重大漏洞隐患、风险和突出问题，加大行政执法力度，保障各地网络安全。>>详细

　　央行发文规范聚合支付 这四方面是核心

　　部分收单机构或聚合支付服务商创新开展“聚合支付”服务，为特约商户提供了融合多个支付渠道，一站式资金结算和对账的技术解决方案，满足了特约商户对减低系统投入和运营成本，提供资金结算和财务对账效率的实际需求。但部分聚合技术服务商涉嫌无证从事支付结算业务，扰乱了市场秩序，需要加以规范。>>详细

　　315晚会曝光二维码支付安全 这些诈骗手段让人不寒而栗

　　因为存储信息、使用便利、近乎零成本的特点，二维码现在几乎成为移动消费支付的首选入口。二维码支付正在变得越来越稀松平常。然而如同一个硬币的两个面，也因为这些特点的存在，不法分子看到了新套路，毕竟伪造一个二维码来是轻而易举的。>>详细

　　美国国土安全部:放一段声音就能黑掉你的手机

　　功能强大的智能手机当中保存着使用者太多的秘密，而如何保护这些信息成为让人头疼的事情。往往人们认为良好的使用习惯和安装一款靠谱的防护软件就能保万无一失，但来自美国科学家的最新研究却令人心凉。想要黑掉一台智能手机，只需要播放一段声音这么简单。>>详细

　　PoS机恶意软件MajikPOS攻击北美和加拿大用户

　　利用端对端加密方法正确配置chip-and-pin信用卡的用户应该不会受此影响，不过不支持这些加密的终端可能也会带来风险。美国已使用了EMV导致网络欺诈行为不断上涨。话虽如此，EMV还是要比磁条卡更安全。>>详细

　　保障俄联邦国家信息安全的战略升级——俄新版《信息安全学说》解读

　　俄罗斯历来十分重视信息安全问题，此前受西方“信息战”理论和实践冲击，俄在2000年颁布的《信息安全学说》，正式把信息安全作为战略问题来考虑，从理论和实践上加紧准备和建设，认真探讨进行信息战的各种措施。此次发布的新版学说，是对2000年版《信息安全学说》的更新升级，内容更加丰富，任务更加明确。>>详细

　　安全漏洞周报

　　上周漏洞基本情况

　　上周信息安全漏洞威胁整体评价级别为高。

　　上周共收集、整理信息安全漏洞109个，其中高危漏洞39个、中危漏洞55个、低危漏洞15个。漏洞平均分值为5.95。上周收录的漏洞中，涉及0day漏洞73个（占38%）。其中互联网上出现“WePresentWiPG-1500后门漏洞、WordPress Adminer插件允许公共管理(本地)数据库登录漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　1、Wireless IP Camera(P2P) WIFICAM存在多个高危漏洞

　　Wireless IP Camera (P2P)WIFICAM是一款无线IP 摄像头。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、获取敏感信息或执行任意代码等。

　　相关漏洞包括：Wireless IPCamera (P2P) WIFICAM ‘Cloud’功能设计缺陷漏洞、Wireless IPCamera (P2P) WIFICAMRSA密钥和证书泄露漏洞、Wireless IP Camera (P2P)WIFICAM存在后门漏洞、Wireless IP Camera (P2P) WIFICAM未授权访问漏洞、Wireless IPCamera (P2P) WIFICAM预授权信息和凭证泄漏漏洞、Wireless IP Camera (P2P)WIFICAM预授权远程命令执行漏洞、Wireless IP Camera (P2P) WIFICAM远程命令执行漏洞。其中，“Wireless IPCamera (P2P) WIFICAM ‘Cloud’功能设计缺陷漏洞、Wireless IPCamera (P2P) WIFICAM未授权访问漏洞、Wireless IP Camera (P2P)WIFICAM预授权信息和凭证泄漏漏洞、Wireless IP Camera (P2P) WIFICAM存在后门漏洞”的综合评级为“高危”。目前，厂商尚未发布该漏洞的修补程序。

　　在此，提醒广大用户随时关注厂商主页，以获取最新版本。

　　2、SAP云商务平台HANA系统存在多个高危漏洞

　　SAP云商务平台HANA系统是一个基于内存计算技术的实时数据计算平台。上周，该产品被披露存在多个漏洞，其中会话固定和身份认证漏洞较为严重，攻击者可利用漏洞绕过身份验证和提升权限。

　　相关漏洞包括：SAP云商务平台HANA系统会话固定漏洞、SAP云商务平台HANA系统身份认证漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　3、Google产品安全漏洞

　　Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Mediaserver是其中的一个多媒体服务组件。Qualcommnetworking Driver是其中的一个网络连接库驱动程序。

　　Qualcomm camera Driver是使用在其中的一个美国高通（Qualcomm）公司开发的摄像头驱动程序。上周，上述产品被披露存在远程代码执行和权限提升漏洞，攻击者可利用漏洞提升权限和执行任意代码。

　　相关漏洞包括：AndroidMediaserver组件远程代码执行漏洞（CNVD-2017-02815、CNVD-2017-02817）、AndroidMediaserver组件远程代码执行漏洞、Android Qualcomm networking驱动程序权限提升漏洞（CNVD-2017-02822）、AndroidQualcomm networking驱动程序权限提升漏洞、Android Qualcomm camera驱动程序权限提升漏洞（CNVD-2017-02812、CNVD-2017-02814）、AndroidQualcomm camera驱动程序权限提升漏洞，上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　4、Veritas产品安全漏洞

　　Veritas Access等都是美国VeritasTechnologies公司的产品。Veritas Access是一套用于非结构化数据的横向扩展NAS解决方案；VeritasNetBackup Appliance是一款企业级备份管理设备。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发起拒绝服务攻击、执行任意代码或提升权限等。

　　相关漏洞包括：多款Veritas产品任意命令执行漏洞（CNVD-2017-02658）、多款Veritas产品本地命令执行漏洞、多款Veritas产品拒绝服务漏洞、多款Veritas产品硬编码凭证漏洞、多款Veritas产品目录遍历漏洞、多款Veritas产品任意命令执行漏洞、多款Veritas产品身份验证绕过漏洞、多款Veritas产品本地特权提升漏洞。其中，“多款Veritas产品硬编码凭证漏洞、多款Veritas产品目录遍历漏洞、多款Veritas产品任意命令执行漏洞、多款Veritas产品身份验证绕过漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　5、Dahua DHI-HCVR7216A-S3中间人攻击漏洞

　　大华DHI-HCVR7216A-S3是中国大华（Dahua）公司的一款网络硬盘录像机产品。上周，大华被披露存在中间人攻击漏洞，攻击者可利用该漏洞创建拥有特权的新用户，执行中间人攻击，获取敏感信息。目前，厂商尚未发布该漏洞的修补程序。在此，提醒广大用户随时关注厂商主页，以获取最新版本。

　　专家点评和建议

　　中国电子银行网特约中国金融认证中心（CFCA）信息安全专家，对漏洞风险作出如下小结：上周，Wireless IPCamera (P2P) WIFICAM被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、获取敏感信息或执行任意代码等。此外，SAP、Google、Veritas等多款产品被披露存在多个漏洞，攻击者利用漏洞可泄露敏感信息、提升权限、执行任意代码或发起拒绝服务攻击等。另外，大华被披露存在中间人攻击漏洞，攻击者可利用该漏洞创建拥有特权的新用户，执行中间人攻击，获取敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。　　

　　（中国电子银行网综合中国信息安全、移动支付网、E安全、快科技、等级保护测评报道）

责任编辑：韩希宇