国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞230个，互联网上出现“WordPress插件ChainedQuiz SQL注入漏洞、Hycus CMS认证绕过漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　北京大数据研究院发布“新一代指纹识别技术”等成果

　　“新一代指纹识别技术”解决方案，可在十亿级别的指纹比对上实现实时高精度比对，是目前全球唯一能够实现指纹比对完全自动化的技术，被指纹专家称为“指纹技术的革命”。>>详细

　　我国发布全球首款可见光通信芯片：有光即可上网

　　可见光通信技术绿色低碳、可实现近乎零耗能通信，还可有效避免无线电通信电磁信号泄露等弱点，快速构建抗干扰、抗截获的安全信息空间。>>详细

　　华为回应被澳大利亚禁入5G市场：极其令人失望

　　上月黄冀表示，华为不处理个人数据。“华为不拥有、不管理、不操作任何数据。”>>详细

　　技术观澜

　　浅谈计算机中的存储模型之物理内存

　　从进程开始，我们知道进程运行在内存中，每个进程都有自己独立的内存地址空间，目的是安全和高效利用内存，一个进程的地址空间是抽象出来的，属于虚拟内存，而内存分为虚拟内存和物理内存。>>详细

　　通过内存转储打破Linux全盘加密保护

　　可以破解全盘加密的方法手段非常的多，但缺点是大部分这些方法都非常复杂，且操作起来费时费力。其中最简单的方法就是对正在运行的VM进行内存转储，并从中提取加密密钥。>>详细

　　通过Unquoted service Path进行Windows权限提升

　　我们将通过Unquoted service Path演示Windows权限提升。在渗透测试中，当我们将命令shell作为本地用户生成时，是无法检查受限文件或文件夹的，因此我们需要升级权限才能获得管理员访问权限。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年08月20日-2018年08月26日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞230个，其中高危漏洞75个、中危漏洞152个、低危漏洞3个。漏洞平均分值为6.51。上周收录的漏洞中，涉及0day漏洞44个（占19%），其中互联网上出现“WordPress插件ChainedQuiz SQL注入漏洞、Hycus CMS认证绕过漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Cisco产品安全漏洞

　　Cisco Firepower System是CiscoFirepower下一代防火墙使用的系统。Cisco Policy Suite是电信级策略、收费及用户数据管理解决方案。Cisco IP Phone6800、7800和8800 Series都不同系列的IP电话产品。MultiplatformFirmware是运行在其中的一套支持多平台的防火墙软件。Cisco FireSIGHT System是一套集成的网络安全和流量管理产品，可部署在专用平台上或可作为软件解决方案。Cisco WebSecurityAppliance（WSA）是一套Web安全设备。Cisco DNACenter是一个完整的基于软件的网络自动化和保障解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，提升权限，执行任意代码。

　　CNVD收录的相关漏洞包括：Cisco PolicySuite Policy Builder认证绕过漏洞、Cisco Policy Suite Policy Builder访问绕过漏洞、CiscoFirepower System拒绝服务漏洞（CNVD-2018-16067）、Cisco IP Phone6800、7800、8800系列命令注入漏洞、CiscoFireSIGHT System远程安全绕过漏洞、Cisco FireSIGHT System远程安全绕过漏洞（CNVD-2018-16069）、Cisco WebSecurity Appliance权限提升漏洞（CNVD-2018-16179）、Cisco DigitalNetwork Architecture (DNA) Center命令注入漏洞。其中，“Cisco IP Phone6800、7800、8800系列命令注入漏洞、Cisco WebSecurity Appliance权限提升漏洞（CNVD-2018-16179）、Cisco DigitalNetwork Architecture (DNA) Center命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Microsoft .NET Framework是一种全面且一致的编程模型，也是一个用于构建Windows、Windows Store、Windows Phone、WindowsServer和MicrosoftAzure的应用程序的开发平台。该平台包括C#和Visual Basic编程语言、公共语言运行库和广泛的类库。MicrosoftChakraCore是一个Edge（Web浏览器）所使用的JavaScript引擎的核心部分。InternetExplorer是一款网页浏览器。原称Microsoft Internet Explorer(6版本以前)和WindowsInternet Explorer(7、8、9、10、11版本)，简称IE。Edge是微软为Windows 10打造的浏览器。MicrosoftWindows 10等都是操作系统。Edge和Internet Explorer（IE）都是其中的浏览器。前者是最新操作系统Windows 10附带的默认浏览器，后者是Windows 10之前操作系统附带的默认浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获提升权限，执行任意代码，破坏内存。

　　CNVD收录的相关漏洞包括：Microsoft .NETFramework远程代码执行漏洞（CNVD-2018-15849、CNVD-2018-15850）、MicrosoftChakraCore远程代码执行漏洞（CNVD-2018-15861、CNVD-2018-15862）、MicrosoftInternet Explorer和Edge脚本引擎内存破坏漏洞（CNVD-2018-15916、CNVD-2018-16174、CNVD-2018-16175）、MicrosoftInternet Explorer和Edge权限提升漏洞（CNVD-2018-15915）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　安卓（Android）是一种基于Linux的自由及开放源代码的操作系统，由谷歌公司和开放手机联盟领导及开发。GoogleChromium是一款Web浏览器。Electron是使用在其中的一个使用JavaScript、HTML和CSS等Web技术创建桌面应用程序的框架。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。

　　CNVD收录的相关漏洞包括：Google AndroidQualcomm组件权限提升漏洞（CNVD-2018-16191、CNVD-2018-16190）、GoogleChromium Electron远程代码执行漏洞、Google Android Qualcomm组件权限提升漏洞（CNVD-2018-16194、CNVD-2018-16193）、Google AndroidQualcomm组件远程代码执行漏洞（CNVD-2018-16192）、Google Android System信息泄露漏洞（CNVD-2018-16197）、Google AndroidQualcomm组件信息泄露漏洞（CNVD-2018-16195）。其中，除“Google AndroidSystem信息泄露漏洞（CNVD-2018-16197）、Google Android Qualcomm组件信息泄露漏洞（CNVD-2018-16195）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Quest产品安全漏洞

　　Quest DR系列是磁盘存储和重复数据删除设备。上周，该产品被披露存在权限提升和命令注入漏洞，攻击者可利用漏洞提升权限，执行任意代码。

　　CNVD收录的相关漏洞包括：Quest DR系列磁盘备份软件命令注入漏洞（CNVD-2018-15622、CNVD-2018-15865）、Quest DR系列磁盘备份软件权限提升漏洞（CNVD-2018-15897、CNVD-2018-15903、CNVD-2018-15910、CNVD-2018-15909、CNVD-2018-15912、CNVD-2018-15911）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　GhostScript沙箱绕过(命令执行)漏洞

　　GhostScript是PostScript和可移植文档格式（PDF）文件的解释器。上周，GhostScript被披露存在沙箱绕过(命令执行)漏洞。攻击者可以利用该漏洞造成命令执行。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Cisco被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，提升权限，执行任意代码。此外，Microsoft、Google、Quest等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，破坏内存等。另外，GhostScript被披露存在沙箱绕过(命令执行)漏洞。攻击者可以利用该漏洞造成命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、中国新闻网、环球网、新浪科技、51CTO、嘶吼RoarTalk、FreebuF.COM报道

责任编辑：韩希宇