国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞440个，互联网上出现“PHICOMM K2（PSG1218）输入验证漏洞、Debut embedded http server拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　人工智能战略中的信息安全——美国、英国人工智能发展战略简析

　　如果说今天的人工智能是互联网，乃至整个信息技术领域的皇冠，那么安全无疑是皇冠的基座。就像任何新技术一样，人工智能的安全与否很大程度上影响着其未来的发展和应用。>>详细

　　手掌静脉识别技术在支付行业的应用前景分析

　　手掌静脉识别是针对人体手掌部分的静脉结构，相对而言手掌部位血管较深，给红外成像和系统存储识别比对带来困难，但手掌静脉数目较多，能够有效提高识别精度。>>详细

　　抛弃高通、携手Intel苹果到底在犹豫什么？

　　苹果与高通的诉讼纠纷已持续近一年之久，由外及里去看，这已经不仅仅是苹果与高通的纠纷，更像是终端厂商与高通商业模式的纠纷。>>详细

　　技术观澜

　　在Office文档的属性中隐藏攻击载荷

　　这种技术提供了一种简单的方法在Microsoft Office文档的文档属性中来隐藏恶意命令。触发有效载荷的宏不会被认为是恶意的宏，文档文件的注释部分也不会被各种杀毒软件进行检查。>>详细

　　专家教你利用深度学习检测恶意代码

　　目前的反病毒和恶意软件检测产品，一般采用的是基于特征的方法，它们借助人工设定的规则集来判断某软件是否属于某种已知的恶意软件类型集合。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年12月18日-2017年12月24日）信息安全漏洞威胁整体评价级别为高。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞440个，其中高危漏洞194个、中危漏洞202个、低危漏洞44个。漏洞平均分值为6.06上周收录的漏洞中，涉及0day漏洞142个（占32%），其中互联网上出现“PHICOMM K2（PSG1218）输入验证漏洞、Debut embedded http server拒绝服务漏洞”等零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数466个，与前周（567个）环比减少18%。

　　上周重要漏洞安全告警

　　IBM产品安全漏洞

　　IBM Sterling File Gateway是美国IBM公司的一套文件传输软件，IBM AtlaseDiscovery Process Management是一款信息生命周期治理解决方案中的产品，IBM Tivoli Monitoring是系统监控软件，IBM Jazz forService Management是一款提供对服务管理环境可见性的集成服务管理产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息、执行任意代码或绕过安全限制等。

　　CNVD收录的相关漏洞包括：IBM Jazz forService Management跨站请求伪造漏洞（CNVD-2017-37857、CNVD-2017-37866）、IBM AtlaseDiscovery Process Management SQL注入漏洞、IBM FinancialTransaction Manager SQL注入漏洞、IBM QRadar命令注入漏洞、IBM SecurityGuardium Database Activity Monitor SQL注入漏洞、IBM SterlingFile Gateway安全绕过漏洞、IBM TivoliMonitoring任意代码执行漏洞。除“IBM Jazz forService Management跨站请求伪造漏洞（CNVD-2017-37857、CNVD-2017-37866）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Huawei产品安全漏洞

　　Huawei AR120-S等都是中国华为（Huawei）公司的路由器产品，Huawei S12700等是智能路由交换机。Huawei USG系列产品及Secospace USG系列是新一代专业入侵防御和防火墙产品。Huawei畅享5S是一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取数据、泄露内存信息或发起拒绝服务攻击等。

　　CNVD收录的相关漏洞包括：多款Huawei产品IPv6协议越边界读取漏洞、多款Huawei产品输入校验漏洞、多款Huawei产品输入验证漏洞（CNVD-2017-37728）、多款Huawei防火墙产品存在内存泄露漏洞、多款Huawei路由器产品数值计算错误漏洞、多款Huawei产品拒绝服务漏洞（CNVD-2017-37724、CNVD-2017-37726）、Huawei畅享5S信息泄露漏洞。除“多款Huawei产品拒绝服务漏洞（CNVD-2017-37726）、Huawei畅享5S信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Quest产品安全漏洞

　　Quest NetVault Backup是美国Quest Software公司的一套数据备份软件。上周，该产品被披露存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

　　CNVD收录的相关漏洞包括：Quest NetVaultBackup SQL注入漏洞（CNVD-2017-37630、CNVD-2017-37631、CNVD-2017-37632、CNVD-2017-37633、CNVD-2017-37634、CNVD-2017-37635、CNVD-2017-37636、CNVD-2017-37637）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　QNAP产品安全漏洞

　　QNAP QTS是中国威联通（QNAP Systems）公司的一套Turbo NAS作业系统。Video Station是其中的一个视频播放器。上周，上述产品被披露存在缓冲区溢出和SQL注入漏洞，攻击者可利用漏洞执行任意代码或获取数据库敏感信息。

　　CNVD收录的相关漏洞包括：QNAP QTS缓冲区溢出漏洞、QNAP QTS缓冲区溢出漏洞（CNVD-2017-37605、CNVD-2017-37606、CNVD-2017-37607、CNVD-2017-37608、CNVD-2017-37609、CNVD-2017-37610）、QNAP VideoStation命令注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　多款Shenzhen Tenda产品app_data_center命令注入漏洞

　　Shenzhen Tenda Ac9等都是中国腾达（Tenda）公司的无线路由器产品。上周，Tenda被披露存在命令注入漏洞，远程攻击者可通过发送特制的cgi-bin/luci/usbeject?dev_name=GET请求利用该漏洞执行任意的操作系统命令。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，IBM被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息、执行任意代码或绕过安全限制等。此外，Huawei、Quest、QNAP等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息、执行任意代码或发起拒绝服务攻击等。另外，Tenda被披露存在命令注入漏洞，远程攻击者可通过发送特制的cgi-bin/luci/usbeject?dev_name=GET请求利用该漏洞执行任意的操作系统命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、《保密科学技术》、中国支付清算协会、嘶吼RoarTalk、OFweek报道

责任编辑：韩希宇