国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞219个，互联网上出现“Vacron NVR设备远程命令执行漏洞、Joomla!组件Ajax Quiz SQL注入漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

2016年到2017年勒索软件市场增长了2502%

一体化的 RaaS 本身就是一条完善的勒索链，其中集成了分发通道（攻击套件，spam 僵尸网络等）；可以对比特币勒索进行管理的支付模式；对文件的加密与解锁，还有对用户的技术支持，所有的这些都集成在一个简单的 web 后台面板中。

错失了二维码时代 银行还能在刷脸支付上翻盘吗？

虽然采用全新科技存在一定风险，但是金融科技的深入应用在一定程度上可以助力银行发展零售业务，而银行抢先应用科技就意味着可以拥有支付领域的制高点，未来还会有更多的银行展开生物识别技术的应用。

技术观澜

iOS隐私安全之通过popup向用户索取Apple ID和密码

这种提示可以被任意的一个app滥用，通过UIAlertController就可以很简单的实现，效果看起来和系统对话框一模一样。即使了解一点钓鱼攻击的用户也很难在很短时间内发现这些警告（提示）是钓鱼攻击。

IPhone X人脸识别技术是否安全？

通过人脸识别技术达到安全访问控制极具挑战性，因为恶意攻击可以有多个切入点，例如钓鱼攻击、恶意图像攻击、运行时篡改，甚至图像盗窃。

做源头上的安全：内建安全源码保障

为了保障软件安全，能够“尽早、尽快”发现并修复软件系统中漏洞的方法是急迫所需的，这正是内建安全（Build Security In，BSI）的开发方式提倡的。

4G/5G网络与WiFi一样不安全 智慧城市岌岌可危?

通信运营商正在加紧部署昂贵的4G/5G无线网络，而这些基础设施也将成为商业物联网设备的一个通信选择。但不幸的是，虽然4G/5G无线网络的部署是由业内的专家负责的，但它们仍然存在很多安全问题。

安全威胁播报

上周漏洞基本情况

上周（2017年10月09日-2017年10月15日）信息安全漏洞威胁整体评价级别为高。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞219个，其中高危漏洞88个、中危漏洞115个、低危漏洞16个。漏洞平均分值为6.38。上周收录的漏洞中，涉及0day漏洞39个（占18%），其中互联网上出现“Vacron NVR设备远程命令执行漏洞、Joomla!组件Ajax Quiz SQL注入漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数818个。此外，上周微软漏洞补丁日发布修复了MicrosoftWindowsSMB Server远程执行代码漏洞，该漏洞影响版本范围跨度较大，一旦漏洞细节披露，将造成极为广泛的攻击威胁，可导致诱发APT攻击。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows是美国微软公司发布的一系列操作系统。Sever MessageBlock是其中的一个为计算机提供身份验证用以访问服务器上打印机和文件系统的组件。Microsoft Office一款办公软件套件产品。上周，上述产品被披露存在内存破坏和远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：MicrosoftWindows SMB Server远程代码执行漏洞、Microsoft Office内存破坏漏洞（CNVD-2017-29849）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

DNSmasq产品安全漏洞

DNSmasq是一个小巧且方便地用于配置DNS和DHCP的工具。上周，该产品被披露存在拒绝服务、信息泄露和任意代码执行漏洞，攻击者可利用漏洞执行任意代码、泄露敏感信息或发起拒绝服务攻击。

CNVD收录的相关漏洞包括：DNSmasq拒绝服务漏洞（CNVD-2017-29272、CNVD-2017-29273、CNVD-2017-29274）、DNSmasq任意代码执行漏洞、DNSmasq任意代码执行漏洞（CNVD-2017-29276、CNVD-2017-29277）、DNSmasq信息泄露漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Google产品安全漏洞

Android是美国谷歌公司的一套以Linux为基础的开源操作系统。Mediaframework(libstagefright)是其中的一个用于多媒体开发的硬解码支持框架。Libraries是其中的一个函数库。上周，上述产品被披露存在权限提升和远程代码执行漏洞，攻击者可利用漏洞提升权限或执行任意代码。

CNVD收录的相关漏洞包括：Google AndroidFramework ui framework权限提升漏洞、Google Android Libraries远程代码执行漏洞、Google AndroidLibraries远程代码执行漏洞（CNVD-2017-30039）、Google Android Mediaframework audio hal权限提升漏洞、Google Android Media framework libhevc远程代码执行漏洞、Google AndroidMedia framework libmpeg2远程代码执行漏洞、Google Android Mediaframework libstagefright远程代码执行漏洞、Google Android mediaframework权限提升漏洞（CNVD-2017-30024）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

GNU Binutils是一组用于创建和管理二进制程序、对象文件、库、配置文件数据及程序集源代码的编程工具。GNU Binutils是GNU计划开发的一组编程语言工具程序。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞发起拒绝服务攻击。

CNVD收录的相关漏洞包括：GNU BinutilsBinary File Descriptor库拒绝服务漏洞、GNU Binutils拒绝服务漏洞（CNVD-2017-30067、CNVD-2017-30068、CNVD-2017-30069、CNVD-2017-3007CNVD-2017-30073、CNVD-2017-30074、CNVD-2017-30075）。其中“GNU Binutils拒绝服务漏洞（CNVD-2017-30072）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

LAVA Computer MFG Ether-Serial Link认证绕过漏洞

Ether-Serial Link是LAVA Computer MFG公司的一款以太网串行链路设备。上周，LAVA Computer MFG被披露存在认证绕过漏洞，具有相同IP地址的攻击者可利用漏洞通过访问特定的资源定位符来绕过身份验证。目前，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

小结

上周，Microsoft存在内存破坏和远程代码执行漏洞，攻击者可利用漏洞执行任意代码。此外，DNSmasq、Google、GNU多款产品被披露存在多个漏洞，攻击者可利用漏洞泄露敏感信息、执行任意代码或发起拒绝服务攻击等。另外，LAVA Computer MFG被披露存在认证绕过漏洞，具有相同IP地址的攻击者可利用漏洞通过访问特定的资源定位符来绕过身份验证。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合界面、FreeBuf.COM、嘶吼RoarTalk报道整理/韩希宇