302 Found

　　国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞257个，互联网上出现“Linksys WVBR0无线网桥远程命令执行漏洞、Western Digital MyCloudPR4100 Web管理组件'multi_uploadify'文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　物联网及人工智能时代支付发展趋势

　　物联网及人工智能对支付的影响尚浅，仅表现为优化支付效率与风险防控等维度，但其发展很可能是非线性的，长期来看，将会对支付方式、产业机构以及盈利模式带来影响。>>详细

　　虹膜识别全面爆发 只是缺少一个机会

　　数据分为两种：一类是人类产生的数据，比如具体的消费行为、购物动作等。人们根据这些数据去勾勒用户画像，从而做到更懂客户，构建强大竞争力；二类是人类自产的数据，阿里王坚曾说，每个人身上都有无数数据，如果利用技术去充分辨识这些数据，将能更加全面地认识自己。>>详细

　　IPv6 下一代网络技术与信息安全

　　未来的IPv6时代，将有足够多的地址，每个人一个地址，和电话号码一样，从号码前几位就知道用户是从哪里注册的，并显示出身份信息，因为每一个地址都是真正独一无二的，较容易实现实名制，网络安全管理能力将有所提高，网络诈骗追溯的难度也会大大降低。>>详细

　　技术观澜

　　火爆全球的区块链到底是怎么一回事？一文带你看懂

　　为了保证数据的可靠性，区块链也有自己的代价。一是效率，数据写入区块链，最少要等待十分钟，所有节点都同步数据，则需要更多的时间；二是能耗，区块的生成需要矿工进行无数无意义的计算，这是非常耗费能源的。>>详细

　　域信任机制的攻击技术指南

　　如果信任是非传递性的，那么你将无法从非传递性的点上查询信任链中的任何一个Active Directory的信息。外部信任隐含了信任的不可传递性。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2018年01月08日-2018年01月14日）信息安全漏洞威胁整体评价级别为高。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞257个，其中高危漏洞109个、中危漏洞134个、低危漏洞14个。漏洞平均分值为6.41。上周收录的漏洞中，涉及0day漏洞78个（占30%），其中互联网上出现“Linksys WVBR0无线网桥远程命令执行漏洞、Western Digital MyCloudPR4100 Web管理组件'multi_uploadify'文件上传漏洞”等零日代码攻击漏洞。

　　上周重要漏洞安全告警

　　Android平台WebView控件存在高危漏洞

　　WebView是Android用于显示网页的控件。上周，该产品被披露存在跨域访问高危漏洞，攻击者通过URL Scheme的方式，可远程打开并加载恶意HTML文件，远程获取APP中包括用户登录凭证在内的所有本地敏感数据。

　　CNVD收录的相关漏洞包括：AndroidWebView存在跨域访问漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft产品安全漏洞

　　Microsoft Windows 10是一套供个人电脑使用的操作系统，Windows Server2016是一套服务器操作系统。Edge是其中的一个系统附带的默认浏览器。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Microsoft Edge脚本引擎内存破坏漏洞（CNVD-2018-00504、CNVD-2018-00505、CNVD-2018-00506、CNVD-2018-00507、CNVD-2018-00508、CNVD-2018-00509、CNVD-2018-00510、CNVD-2018-00511）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Google产品安全漏洞

　　Android是美国谷歌公司的一套以Linux为基础的开源操作系统。MediaFramework是其中的一个用于多媒体开发框架。Android Runtime（ART）是Android系统的运行环境。

　　上周，上述产品被披露存在权限提升和远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Google AndroidMedia Framework权限提升漏洞（CNVD-2018-00624、CNVD-2018-00634、CNVD-2018-00635、CNVD-2018-00636）、Google AndroidMedia Framework远程代码执行漏洞（CNVD-2018-00631、CNVD-2018-00632、CNVD-2018-00633）、Google AndroidRuntime权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　PHP Scripts Mall产品安全漏洞

　　PHP Scripts Mall SingleTheater Booking是一款开源剧院脚本；Car Rental Script是一款用于出租车预订业主和代理的开源网站脚本；Resume CloneScript是一款简历克隆脚本；Professional Service Script是一款具有搜索、任务创建及任务管理功能的脚本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取数据库敏感信息或发起跨站脚本攻击等。

　　CNVD收录的相关漏洞包括：PHP ScriptsMall Car Rental Script跨站脚本漏洞、PHP Scripts Mall Car Rental Script跨站请求伪造漏洞、PHP ScriptsMall Car Rental Script SQL注入漏洞（CNVD-2018-00484）、PHP ScriptsMall Professional Service Script跨站脚本漏洞、PHP ScriptsMall Professional Service Script信息泄露漏洞、PHP ScriptsMall Professional Service Script SQL注入漏洞（CNVD-2018-00489）、PHP ScriptsMall Resume Clone Script SQL注入漏洞（CNVD-2018-00492）、PHP ScriptsMall Single Theater Booking SQL注入漏洞。除“PHP Scripts Mall Car Rental Script跨站脚本漏洞、PHP ScriptsMall Car Rental Script跨站请求伪造漏洞、PHP Scripts MallProfessional Service Script跨站脚本漏洞、PHP Scripts Mall Professional ServiceScript信息泄露漏洞”外，其余漏洞的综合评级为“高危”。

　　Linksys WVBR0无线网桥远程命令执行漏洞

　　Linksys WVBR0是一款无线网络中继器设备。上周，Linksys被披露存在远程命令执行漏洞，远程攻击者可利用该漏洞以root权限执行任意代码。目前，厂商尚未发布漏洞修补程序。

　　小结

　　上周，Android WebView被披露存在跨域访问高危漏洞，攻击者通过URL Scheme的方式，可远程打开并加载恶意HTML文件，远程获取APP中包括用户登录凭证在内的所有本地敏感数据。此外，Microsoft、Google、PHP ScriptsMall等多款产品被披露存在多个漏洞，攻击者可利用漏洞泄露数据库敏感信息、执行任意代码或发起跨站脚本攻击等。另外，Linksys被披露存在远程命令执行漏洞，远程攻击者可利用该漏洞以root权限执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、银行卡研究资讯、雷锋网、《保密科学技术》、互联网架构师、嘶吼RoarTalk报道　

责任编辑：韩希宇