国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞248个，互联网上出现“Secutech RiS-11、RiS-22和RiS-33 DNS更改漏洞、Frog CMS任意文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜和月末大讲堂，深入探讨信息安全知识。

　　一周行业要闻速览

　　中兴生死劫 如何破解中国的芯片之痛？

　　在半导体设备领域，光刻机是芯片制造过程中最核心的设备，全球最大芯片光刻设备市场供货商ASML是为数不多的厂家之一。但就是这样核心的设备，却对中国禁售。即使卖给中国，也是落后好几代的设备。>>详细

　　为防监视 法国政府着手打造属于自己的加密通讯应用程序

　　虽然WhatsApp和Telegram应用程序都支持高级加密标准，具有很好的安全性——WhatsApp依赖于行业的加密标准，Telegram则使用自行开发的加密方法，但是，使用所有权不在自己国家的加密通讯应用程序终归会带来安全隐患。>>详细

　　美国知名银行前员工或盗用150万客户信息 出售给犯罪组织

　　SunTrust银行的一位前雇员可能盗取了150万名客户的数据，包括姓名、地址、电话号码和账户余额等重要信息。>>详细

　　技术观澜

　　巡风风险扫描开源系统的一些演变

　　同程SRC团队开源巡风资产风险控制系统也有一段时间了，我们临时用它作为一个简单的soc平台来使用，期间也做了一些定制化开发。>>详细

　　新漏洞:黑客可利用iTunes Wi-Fi同步功能接管你的iPhone

　　赛门铁克的研究人员发现了苹果生态中的一个漏洞，只要用户的 iPhone 与 Mac 工作站或笔记本配对，黑客就能利用该漏洞（Trustjacking）偷偷摸摸地“接管”用户设备。>>详细

　　DNS安全威胁及未来发展趋势的研究

　　DNS安全是网络安全第一道大门，如果DNS的安全没有得到标准的防护及应急措施，即使网站主机安全防护措施级别再高，攻击者也可以轻而易举的通过攻击DNS服务器使网站陷入瘫痪。调查显示，DNS攻击是互联网中第二大攻击媒介。>>详细

　　月末大讲堂

　　APT组织正在利用IE浏览器中的零日漏洞“double play”

　　该APT组织正在传播一个嵌入了恶意网页的Office文档，一旦用户打开该文档，就会从远程服务器中下载并执行漏洞利用代码和恶意负载。在攻击链的后期阶段，攻击者会利用一个公共的UAC旁路技术，并使用文件隐写和内存反射加载来逃避流量监控，并实现无文件加载。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年04月16日-2018年04月20日）信息安全漏洞威胁整体评价级别为高。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞248个，其中高危漏洞80个、中危漏洞151个、低危漏洞17个。漏洞平均分值为5.85。上周收录的漏洞中，涉及0day漏洞51个（占21%），其中互联网上出现“Secutech RiS-11、RiS-22和RiS-33 DNS更改漏洞、Frog CMS任意文件上传漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　WebLogic Server WLS核心组件反序列化漏洞

　　WebLogic Server是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件。上周，该产品被披露存在反序列化漏洞，攻击者可利用漏洞在未授权的情况下远程执行代码。

　　CNVD收录的相关漏洞包括：OracleWebLogic Server WLS核心组件反序列化漏洞。该漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　Apple iOS是为移动设备所开发的一套操作系统；Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。iCloud forWindows是一款基于Windows平台的云服务。WebKit是其中的一个Web浏览器引擎组件。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：多款Apple产品WebKit内存破坏漏洞（CNVD-2018-07779、CNVD-2018-07780、CNVD-2018-07781、CNVD-2018-07782、CNVD-2018-07807、CNVD-2018-07808、CNVD-2018-07809、CNVD-2018-07810）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Qualcommclosed-source components是其中的一个美国高通（Qualcomm）公司开发的闭源组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏提升权限或执行任意代码等。

　　CNVD收录的相关漏洞包括：Google Android本地权限提升漏洞（CNVD-2018-07851、CNVD-2018-07863）、Google Android缓冲区溢出漏洞（CNVD-2018-07849、CNVD-2018-07861）、Google Android权限提升漏洞（CNVD-2018-07850、CNVD-2018-07858）、Google Android远程代码执行漏洞（CNVD-2018-07862）、Google AndroidQualcomm闭源组件缓冲区溢出漏洞。除“Google Android本地权限提升漏洞（CNVD-2018-07851、CNVD-2018-07863）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Microsoft Windows 10和Windows Server2016都是美国微软（Microsoft）公司的产品。Edge是其中的一个系统附带的默认浏览器。InternetExplorer（IE）是一款Windows操作系统附带的Web浏览器。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：MicrosoftChakraCore和Edge远程代码执行漏洞（CNVD-2018-07772、CNVD-2018-07773、CNVD-2018-07774、CNVD-2018-07775）、MicrosoftInternet Explorer远程代码执行漏洞（CNVD-2018-07776、CNVD-2018-07777、CNVD-2018-07778、CNVD-2018-08022）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　MikroTik RouterOS权限提升漏洞

　　MikroTik RouterOS是拉脱维亚MikroTik公司的一套基于Linux核心开发的路由操作系统。上周，MikroTik被披露存在权限提升漏洞，远程攻击者可利用该漏洞获取客户端内部网络的访问权限。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，OracleWebLogic Server被披露存在反序列化漏洞，攻击者可利用漏洞在未授权的情况下远程执行代码。此外，Apple、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击等。另外，MikroTik被披露存在权限提升漏洞，远程攻击者可利用该漏洞获取客户端内部网络的访问权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、第一财经、雷锋网、FreebuF.COM、嘶吼RoarTalk报道

责任编辑：韩希宇