国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞307个，互联网上出现“libcroco拒绝服务漏洞（CNVD-2017-11760）、DNSTracer栈缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　国际反钓鱼组织发布2016年钓鱼活动报告

　　几乎一半的恶意注册是针对中国银行或其他品牌的网络钓鱼帮派，占全球几乎四分之一的网络钓鱼攻击。这是从前几年急剧下降，高达80％以上的恶意注册针对中国网站。该报告指出：“用于瞄准非中国目标的恶意域名有巨大的增长。>>详细

　　安全厂商发布APT攻击混淆技术研究报告

　　在整个2017年，我们观察到一系列有针对性的攻击者使用命令行逃避和混淆的情况显着增加。网络间谍团体和金融威胁演员继续采用最新的前沿应用白名单旁路技术，并将其引入到网络钓鱼诱骗中的创新混淆。>>详细

　　西门子修补其工业产品Intel AMT漏洞

　　西门子修补了影响其工业产品的两个关键漏洞。一个与最近披露的主动管理技术（AMT, 英特尔处理器的功能）的漏洞有关，可能会让攻击者获得系统权限。另一个漏洞可能让攻击者上传并执行任意代码。>>详细

　　研究者提出硬件混淆作为IoT的防御层

　　渗透测试Pen Test Partners的安全研究人员提出硬件混淆的想法，意在作为IoT的防御层，前提是混淆必须以低成本实现。其声称可以通过使用混淆来增加逆向工程师的分析时间，并警告说硬件混淆不提供安全性，仅作为一个额外的防御层。>>详细

　　技术观澜

　　从支付架构到风控报警 支付系统的设计如何环环相扣？

　　企业所处发展阶段不同，对支付系统的定位和架构也不尽相同。整体上来说，我们可以把一个公司的支付系统发展分为三个阶段：支付系统、支付服务和支付平台。>>详细

　　加密软件GnuPG曝出可破解RSA1024的漏洞

　　来自埃因霍温技术大学，伊利诺伊大学，宾夕法尼亚大学，马里兰大学和阿德莱德大学的一组研究人员发现，libgcrypt库使用的“从左到右滑动窗口”方法为了执行密码学的数学，泄漏了更多关于指数位的信息，比从右到左泄漏，允许完全的RSA密钥恢复。>>详细

　　文档型漏洞攻击研究报告

　　漏洞文档直接下载恶意程序是攻击者使用的主要方式，占据68.5%，直接释放恶意程序比例达到了24.1%。在含有伪装内容的文档中，跟经济相关的文档占据比例最大，达到了15.7%，其次为教育科研机构，占比达到9.6%。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年06月26日-2017年07月02日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞307个，其中高危漏洞104个、中危漏洞173个、低危漏洞30个。漏洞平均分值为5.94。上周收录的漏洞中，涉及0day漏洞79个（占26%），其中互联网上出现“libcroco拒绝服务漏洞（CNVD-2017-11760）、DNSTracer栈缓冲区溢出漏洞”等零日代码攻击漏洞。此外，上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1466个，与上周（1336个）环比增长10%。

　　上周重要漏洞安全告警

　　Microsoft产品安全漏洞

　　Microsoft Office是美国微软（Microsoft）公司开发的一款办公软件套件产品。Microsoft Edge是一款Windows 10操作系统附带的默认浏览器。上周，上述产品被披露存在内存破坏和远程代码执行漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：MicrosoftOffice远程代码执行漏洞（CNVD-2017-11786、CNVD-2017-11787、CNVD-2017-11788、CNVD-2017-11789、CNVD-2017-11790、CNVD-2017-11791）、Microsoft Edge远程内存破坏漏洞（CNVD-2017-12092、CNVD-2017-12096）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Google产品安全漏洞

　　Android是美国谷歌（Google）公司和开放手持设备联盟共同开发的一套以Linux为基础的开源操作系统。Qualcomm是使用在其中的一个设备专用的高通组件。上周，该产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

　　CNVD收录的相关漏洞包括：Google AndroidQualcomm权限提升漏洞（CNVD-2017-11361、CNVD-2017-11362、CNVD-2017-11363、CNVD-2017-11364、CNVD-2017-11365、CNVD-2017-11366、CNVD-2017-11367、CNVD-2017-11368）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Cisco产品安全漏洞

　　Cisco IOS XR Software是美国思科（Cisco）公司的IOS软件系列中的一套完全模块化、分布式的网络操作系统。Cisco PrimeCollaboration是综合性视频及声音服务保障及管理系统。Cisco Ultra Services Framework是一个智能在线服务支付平台。Cisco ElasticServices Controller是云及系统管理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、泄露敏感信息、执行任意代码或下载任意文件等。

　　CNVD收录的相关漏洞包括：Cisco ElasticServices Controller安全限制绕过漏洞、Cisco Elastic ServicesController任意命令执行漏洞、Cisco IOS XR Software本地命令注入漏洞、Cisco IOS XRSoftware权限提升漏洞、Cisco Prime Collaboration Provisioning任意文件下载漏洞、Cisco UltraServices Framework Element Manager默认密码漏洞、Cisco ElasticServices Controller信息泄露漏洞、Cisco Elastic Services Controller远程命令执行漏洞。除“Cisco ElasticServices Controller信息泄露漏洞、Cisco Elastic Services Controller远程命令执行漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Huawei产品安全漏洞

　　CHuawei nova、Y6 Pro等都是中国华为（Huawei）公司的智能手机设备。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限或执行任意代码等。

　　CNVD收录的相关漏洞包括：Huawei nova青春版手机权限提升漏洞、Huawei Y6 Prographics驱动内存泄露漏洞、Huawei Y6 Pro graphics驱动缓冲区溢出漏洞、华为手机TEE模块Use After Free漏洞。其中“Huawei Y6 Prographics驱动缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Moxa AWK-3131A Wireless Access Point操作系统命令注入漏洞

　　Moxa AWK-3131A Wireless Access Point是中国摩莎（Moxa）公司的一款无线交换机。上周，Moxa被披露存在命令注入漏洞，攻击者可利用漏洞控制受影响设备。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

　　小结

　　上周，Microsoft被披露存在内存破坏和远程代码执行漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。此外，Google、Cisco、Huawei等多款产品被披露存在多个漏洞，攻击者利用漏洞可绕过安全限制、提升权限、执行任意命令或泄露敏感信息等。另外，Moxa被披露存在命令注入漏洞，攻击者可利用漏洞控制受影响设备。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合360社区、移动支付网、CFCA信息安全实验室报道　　

责任编辑：韩希宇