国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞217个，互联网上出现“POSCMS'index'函数任意代码执行漏洞、Sensio Labs Symfony Web profiler跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　守护者计划2017十大案件

　　犯罪团伙反编译微信访问公众号的逻辑，开发具有在用户不知情的情况下，ROOT手机、刷阅读、点赞、投票、关注公众号等功能的木马程序，再对市场上常见的APK进行重新打包，加入上述木马程序。>>详细

　　16家加密交易所、支付公司、钱包公司加入欧盟警方反洗钱行动

　　中国技术市场协会、腾讯安全、中国区块链应用研究中心网等20多家机构近日联合发起成立中国区块链安全联盟，着重打击假借区块链名义的变相传销、诈骗等行为。>>详细

　　全球首个低时延开放实验室成立了！华为携伙伴深挖网络价值

　　目前，已经有5家行业伙伴加入到华为的低时延开放实验室进行验证对接，首批公布的应用研究包括手机游戏、移动支付、红包加速、远程驾驶等领域，未来将不断发展更新。>>详细

　　技术观澜

　　最全区块链专业术语盘点

　　当一个单一个体或者一个组超过一半的计算能力时，这个个体或组就可以控制整个加密货币网络，如果他们有一些恶意的想法，他们就有可能发出一些冲突的交易来损坏整个网络。>>详细

　　另一种滥用DCOM的内网渗透技术

　　这篇文章讨论了一种日常渗透测试中备用的DCOM渗透过程目标发现和有效载荷执行的方法。主要依据是找到DCOM注册表键/值，该键指向一台“远程”计算机上的一个不存在的二进制文件的路径。>>详细

　　Check Point安全研究人员针对UPAS Kit与Kronos银行木马的分析

　　UPAS Kit使用表单采集和Web注入来拦截和收集来自受保护电脑的个人信息，允许攻击者在未经授权的情况下，从被攻击的电脑中盗取信息。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年06月18日-2018年06月24日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞217个，其中高危漏洞69个、中危漏洞143个、低危漏洞5个。漏洞平均分值为6.19。上周收录的漏洞中，涉及0day漏洞75个（占35%），其中互联网上出现“POSCMS'index'函数任意代码执行漏洞、Sensio Labs Symfony Web profiler跨站脚本漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Adobe产品安全漏洞

　　Adobe Acrobat是一套PDF文件编辑和转换工具，Adobe Reader一套PDF文档阅读软件。Adobe FlashPlayer是多媒体程序播放器。Adobe Photoshop，简称“PS”，是图像处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感信息，执行任意代码。

　　CNVD收录的相关漏洞包括：AdobePhotoshop越界内存写入漏洞、Adobe Acrobat/Reader越界写入漏洞、AdobeAcrobat/Reader越界读取漏洞（CNVD-2018-11737）、Adobe Acrobat/Reader内存破坏漏洞（CNVD-2018-11792）、AdobeAcrobat/Reader类型混淆漏洞（CNVD-2018-11795）、Adobe Acrobat/Reader不可信指针解引用漏洞、AdobeColdFusion不可信数据反序列化漏洞、Adobe Flash Player类型混淆漏洞（CNVD-2018-11803）。其中，除“AdobeAcrobat/Reader越界读取漏洞（CNVD-2018-11737）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Foxit产品安全漏洞

　　Foxit Reader是一款PDF文档阅读器。FoxitPhantomPDF是一个商业版。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Foxit Reader和PhantomPDF远程代码执行漏洞（CNVD-2018-11901、CNVD-2018-11902、CNVD-2018-11903、CNVD-2018-11904、CNVD-2018-11905、CNVD-2018-11906、CNVD-2018-11907、CNVD-2018-11908）。目前，厂商已经发布了上述漏洞的修补程序。

　　Mozilla产品安全漏洞

　　Mozilla Firefox是一款开源Web浏览器。Firefox ESR是Firefox的一个延长支持版本。Skia是其中的一个开放源码的2D图形库，能够提供可在各种硬件和软件平台上工作的常见API。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，执行任意代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：MozillaFirefox代码执行漏洞（CNVD-2018-11787、CNVD-2018-11789）、MozillaFirefox安全绕过漏洞（CNVD-2018-11790）、Mozilla Firefox信息泄露漏洞（CNVD-2018-11924、CNVD-2018-11923）、MozillaFirefox和Firefox ESR内存破坏漏洞（CNVD-2018-11925）、MozillaFirefox ESR缓冲区溢出漏洞、Mozilla Firefox ESR Skia库内存破坏漏洞。其中，除“MozillaFirefox信息泄露漏洞（CNVD-2018-11924、CNVD-2018-11923）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Microsoft Edge是一款Web浏览器。MicrosoftInternet Explorer是一款网页浏览器。上周，该产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码，造成内存破坏。

　　CNVD收录的相关漏洞包括：Microsoft Edge内存破坏漏洞（CNVD-2018-11917、CNVD-2018-11918）、Microsoft Edge和ChakraCore内存破坏漏洞（CNVD-2018-11919、CNVD-2018-11920）、MicrosoftInternet Explorer内存破坏漏洞（CNVD-2018-11932、CNVD-2018-11933、CNVD-2018-11936）、Microsoft Edge内存破坏漏洞（CNVD-2018-11935）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　PvPGN Stats SQL注入漏洞

　　PvPGN Stats是一款基于PHP的支持网站与PvPGN游戏服务器集成的工具，它能够显示服务器状态、梯形图页面等。上周，PvPGN Stats被披露存在SQL注入漏洞，远程攻击者可借助GET参数’user’利用该漏洞获取PvPGN数据库的访问权限（包括：邮件、用户名和密码）。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Adobe被披露存在多个漏洞，攻击者可利用漏洞泄露敏感信息，执行任意代码。此外，Foxit、Mozilla、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，执行任意代码，造成内存破坏或发起拒绝服务攻击。另外，PvPGN Stats被披露存在SQL注入漏洞，远程攻击者可借助GET参数’user’利用该漏洞获取PvPGN数据库的访问权限（包括：邮件、用户名和密码）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、C114中国通信网、51CTO、Odaily星球日报、嘶吼RoarTalk报道　　

责任编辑：韩希宇