国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞213个，互联网上出现“Ericsson-LGiPECS NMS 30M目录遍历漏洞、Adobe Reader PDF本地请求注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　特朗普签署法案禁止政府使用华为和中兴部分技术

　　禁令包括华为和中兴的零部件或是对采用这些零部件系统“至关重要”的服务。不过，这些公司的许多零部件仍然是被允许使用的，前提是它们不被用于路由或查看数据。>>详细

　　自主研发国产浏览器内核红芯宣布获2.5亿融资

　　放眼世界上四大主流浏览器内核（微软IE浏览器内核Trident、谷歌Chrome浏览器内核Blink、苹果Safari内核Webkit、火狐浏览器内核Gecko）皆为国外所有。>>详细

　　中国矿机芯片厂商全球发7nm芯片惹争议

　　从用途来看，新品是一款专门用于“挖矿”的定制型的ASIC芯片。换而言之，即是一款针对特定领域的定制型芯片，计算能力和计算效率都直接根据特定的算法的需要进行定制。>>详细

　　技术观澜

　　如何构建真实世界可用的ML模型？

　　在真实世界中，我们经常需要将模型进行服务化。这里我们借助 flask 框架，将 sklearn 训练后生成的模型文件加载到内存中，针对每次请求传入不同的特征来实时返回不同的预测结果。>>详细

　　利用蜜罐从恶意网站中找出检测绕过代码

　　越来越多的恶意网站开始使用复杂的避免被传统的安全技术检测到。攻击者的目标包括恶意软件传播、数据泄露、修改和比特币挖矿。>>详细

　　如何使用Python构建PC通信？

　　随着物联网的兴起，越来越多的传统工业设备需要和外界通信，但很多情况下，类似PLC的微控制器经常会由于自身硬件因素而无法与外界直接互联互通。PC作为一个中介桥梁，为PLC与外界的沟通打开了一扇门。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年08月06日-2018年08月12日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞213个，其中高危漏洞66个、中危漏洞144个、低危漏洞3个。漏洞平均分值为6.27。上周收录的漏洞中，涉及0day漏洞63个（占30%），其中互联网上出现“Ericsson-LGiPECS NMS 30M目录遍历漏洞、Adobe Reader PDF本地请求注入漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Foxit产品安全漏洞

　　FFoxit Reader（旧名：Foxit PDFReader）是一套用来阅读PDF格式文件的软件。FoxitReader是一套自由使用的软件，操作系统主要以MicrosoftWindows为主，且只要有Win32执行环境的操作系统上皆可使用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Foxit Reader类型混淆远程代码执行漏洞（CNVD-2018-15068、CNVD-2018-15067、CNVD-2018-15070、CNVD-2018-15069、CNVD-2018-15071）、Foxit Reader任意文件写入远程代码执行漏洞（CNVD-2018-15093）、Foxit PDFReader JavaScript引擎内存错误引用漏洞（CNVD-2018-15095、CNVD-2018-15096）。其中，“Foxit Reader任意文件写入远程代码执行漏洞（CNVD-2018-15093）、Foxit PDFReader JavaScript引擎内存错误引用漏洞（CNVD-2018-15095、CNVD-2018-15096）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Adobe产品安全漏洞

　　Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为AcrobatReader)是一款PDF文件阅读软件。上周，上述产品被披露存在越界写入漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Adobe Acrobat和Reader越界写入漏洞（CNVD-2018-14926、CNVD-2018-14927、CNVD-2018-14928、CNVD-2018-14929、CNVD-2018-14932、CNVD-2018-14930、CNVD-2018-14931、CNVD-2018-14933）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Apple产品安全漏洞

　　Apple iOS是为移动设备所开发的一套操作系统。macOS是为Mac系列产品开发的专属操作系统。Apple Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。Safari是其中的一个用于Safari浏览器的专用组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Apple iOSWi-Fi内存破坏漏洞、Apple Safari地址栏欺骗漏洞（CNVD-2018-14959）、Apple iOS拒绝服务漏洞（CNVD-2018-14961）、Apple macOS/OSX敏感信息泄露漏洞、Apple iOS任意代码执行漏洞（CNVD-2018-14963）、Apple macOS/OSX提权漏洞、Apple macOS/OS X敏感信息泄露漏洞（CNVD-2018-14965）、Apple iOS信息泄露漏洞（CNVD-2018-14968）。其中，“Apple iOSWi-Fi内存破坏漏洞、Apple iOS任意代码执行漏洞（CNVD-2018-14963）、Apple macOS/OSX提权漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Mozilla产品安全漏洞

　　Mozilla Firefox是一款开源Web浏览器，Firefox ESR是Firefox的一个延长支持版本。Thunderbird是从MozillaApplication Suite中独立出来的一套电子邮件客户端软件。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞越边界读取内存数据，执行任意代码或发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：多款Mozilla产品内存破坏漏洞、多款Mozilla产品越界写入漏洞、多款Mozilla产品越边界读取漏洞（CNVD-2018-14973）、多款Mozilla产品缓冲区溢出漏洞（CNVD-2018-14974）、多款Mozilla产品内存错误引用漏洞（CNVD-2018-14971、CNVD-2018-14972）、MozillaFirefox和Firefox ESR拒绝服务漏洞（CNVD-2018-14985）、MozillaFirefox和Firefox ESR内存破坏漏洞（CNVD-2018-14986）。其中，除“多款Mozilla产品缓冲区溢出漏洞（CNVD-2018-14974）、MozillaFirefox和Firefox ESR拒绝服务漏洞（CNVD-2018-14985）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Samsung Syncthru Web Service跨站请求伪造漏洞

　　Samsung Syncthru WebService是韩国三星（Samsung）公司的一款用于打印机的网络同步服务。上周，Samsung Syncthru WebService被披露存在跨站请求伪造漏洞。远程攻击者可利用该漏洞执行未授权的操作。

　　小结

　　上周，Foxit被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，Adobe、Apple、Mozilla等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码或发起拒绝服务攻击。另外，Samsung Syncthru WebService跨站请求伪造漏洞，远程攻击者可利用该漏洞执行未授权的操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、新浪科技、一财网、快科技、CSDN、嘶吼RoarTalk报道　　

责任编辑：韩希宇