国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞397个，互联网上出现“Joomla SocialPinBoard插件任意文件上传漏洞、Humax Digital HG100R备份文件下载漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　银联郭伟：TEE标准的制定与发展前景探讨

　　如果将手机比喻成一个房子，则具备开放性的REE可以比喻成客厅，TEE作为隐私空间比喻成卧室，SE则可以比喻成保险箱了，保险箱是家具而不是房间，因为它没有人机交互能力。>>详细

　　《网络安全法》执法案例汇总

　　自《网络安全法》生效以来，与其相关的执法行为逐渐走向常态。本文收集了2017年6月1日至8月18日间各地落实《网络安全法》相关规定的执法案例。>>详细

　　技术观澜

　　入侵ARM Trustzone电源系统漏洞让黑客有机可乘

　　最近的USENIX Security Symposium会议上，来自哥伦比亚大学一支专家团队展示了一种新型攻击方法“CLKscrew”，攻击者可利用现代计算设备电源管理系统(Energy Management System)中的漏洞实施远程攻击，并窃取敏感数据。>>详细

　　Xshell后门事件中用到的DNS Tunneling技术分析

　　通过DNS协议传递受害者电脑信息，并接收服务器指令。这种绕开传统的数据连接，将通信数据封装在DNS协议中的技术，被称为DNS Tunneling。>>详细

　　福昕PDF阅读器被发现两个零日漏洞 并拒绝修复

　　如果你正在使用福昕的PDF阅读器，请确保你启用了“安全阅读模式”功能。此外，你还可以从阅读器的“首选项”菜单中取消 “启用JavaScript操作”这个选项，但这可能会破坏某些使用功能。>>详细

　　手机银行木马Faketoken又更新 利用屏幕重叠窃取银行信息

　　由于欺诈者需要银行发送的SMS作为授权交易代码，因此恶意软件会窃取传入的SMS消息代码，并将其转发给攻击者以此来指挥控制（C＆C）服务器进行攻击。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（20170814-20170820）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞397个，其中高危漏洞160个、中危漏洞220个、低危漏洞17个。漏洞平均分值为6.68。上周收录的漏洞中，涉及0day漏洞90个（占23%），其中互联网上出现“Joomla SocialPinBoard插件任意文件上传漏洞、Humax Digital HG100R备份文件下载漏洞”等零日代码攻击漏洞。此外，上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1493个，与上周（1665个）环比下降10%。

　　上周重要漏洞安全告警

　　NetSarang Xmanager和Xshell等多款产品安全漏洞

　　NetSarang是一家提供安全链接解决方案的公司，Xshell 是一款终端模拟软件。上周，该产品被披露存在后门漏洞，攻击者可利用漏洞泄露敏感信息。

　　CNVD收录的相关漏洞包括：NetSarangXmanager和Xshell等多款产品nssock2.dll模块存在后门。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　HP产品安全漏洞

　　HPE IntelligentManagement Center (iMC) PLAT是美国惠普企业（Hewlett PackardEnterprise，HPE）公司的一套网络智能管理中心解决方案。上周，该产品被披露存在任意代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：HPEIntelligent Management Center PLAT任意代码执行漏洞（CNVD-2017-21562、CNVD-2017-21563、CNVD-2017-21564、CNVD-2017-21565、CNVD-2017-21566、CNVD-2017-21567、CNVD-2017-21568、CNVD-2017-21569）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Adobe产品安全漏洞

　　Adobe Reader/Acrobat是一款流行的处理PDF文件的应用程序。Adobe FlashPlayer是一款跨平台、基于浏览器的多媒体播放器产品。上周，上述产品被披露存在内存破坏和信息泄露漏洞，攻击者可利用漏洞执行任意的代码或泄露敏感信息。

　　CNVD收录的相关漏洞包括：AdobeAcrobat/Reader内存破坏漏洞（CNVD-2017-21193、CNVD-2017-21194、CNVD-2017-21195、CNVD-2017-21196、CNVD-2017-21197、CNVD-2017-21198、CNVD-2017-21199）、Adobe FlashPlayer信息泄露漏洞（CNVD-2017-21200）。除“Adobe FlashPlayer信息泄露漏洞（CNVD-2017-21200）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Google产品安全漏洞

　　Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，该产品被披露存在权限提升和远程代码执行漏洞，攻击者可利用漏洞提升权限或执行任意代码。

　　CNVD收录的相关漏洞包括：Google Androidframework权限提升漏洞、Google Android framework权限提升漏洞（CNVD-2017-21536、CNVD-2017-21537、CNVD-2017-21538）、Google AndroidSystem UI远程代码执行漏洞（CNVD-2017-21549、CNVD-2017-21550、CNVD-2017-21551、CNVD-2017-21552）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Schneider Electric Pro-Face WinGP任意代码执行漏洞

　　Pro-Face GP Pro-Server EX是支持专用和开放HMI（基于PC）解决方案的首选HMI开发软件。上周，Schneider Electric被披露存在任意代码执行漏洞，攻击者可利用漏洞在进程的上下文中执行任意代码。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

　　小结

　　上周，NetSarang被披露存在后门漏洞，攻击者可利用漏洞泄露敏感信息。此外，HP、Google、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或泄露敏感信息等。另外，Schneider Electric被披露存在任意代码执行漏洞，攻击者可利用漏洞在进程的上下文中执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合腾讯、移动支付网、FreeBuf、安全客、嘶吼RoarTalk报道　　

责任编辑：韩希宇