用三大维度定义新型物联网安全-变化吧

2020年1月9日22:33:09安全防范评论阅读模式

　　国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞316个，互联网上出现“Tenda AC15 Router远程代码执行漏洞、WordPress Ajax Pagination（twitter Style）插件路径遍历漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

工业互联网联盟（IIC）发布新型物联网安全成熟度模型（SMM）

治理涵盖战略、实践和流程的运作和管理，如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理，如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面，以及事件响应和审计等。

泰国最大的4G移动运营商TrueMove H遭遇数据泄露

运营商向在线客户公开存储在亚马逊AWS S3存储桶中的个人数据。泄露的数据还包括身份证件的扫描，数据一直保留至4月12日，当时该公司限制访问

重磅！刚刚！美国禁止中兴进口芯片！

美国商务部称，中兴公司因未彻底执行一项处罚条款，将被禁止在7年内从美国进口通讯设备元件！

暴风等知名软件广告页遭“挂马攻击”十多万用户被病毒感染

火绒安全团队发出安全警报，国内多家知名软件、网站的广告页面遭到病毒团伙的“挂马攻击”。用户访问该页面，即会触发浏览器漏洞，导致病毒代码被自动激活。

一文看懂集成电路芯片的成本计算

大规模集成电路芯片，比如SOC，由多核CPU和GPU组成，用于智能手机主芯片、车载多媒体和导航系统，或者特定用途的集成电路芯片ASIC，用于电子控制模块的信号处理，算法运行和控制执行部件。

CVE申请的那些事

对于新手来说申请CVE总是摸不清门道，总觉得像这种国际化的高大上漏洞很难申请到，其实则不然，CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典。

2018年04月09日-2018年04月15日信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞316个，其中高危漏洞113个、中危漏洞188个、低危漏洞15个。漏洞平均分值为5.96。上周收录的漏洞中，涉及0day漏洞80个（占25%），其中互联网上出现“Tenda AC15 Router远程代码执行漏洞、WordPress Ajax Pagination（twitter Style）插件路径遍历漏洞”等零日代码攻击漏洞

Microsoft产品安全漏洞

Microsoft Windows 10和Windows Server2016等都是美国微软（Microsoft）公司的一系列操作系统。MicrosoftWindows Installer是一款Windows应用程序的安装和配置服务。MicrosoftMalware Protection Engine是恶意程序保护引擎。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限或执行任意代码。

CNVD收录的相关漏洞包括：MicrosoftDesktopBridge VFS权限提升漏洞、Microsoft Edge scripting引擎内存破坏漏洞（CNVD-2018-07281）、MicrosoftInternet Explorer内存破坏漏洞（CNVD-2018-07279、CNVD-2018-07326）、MicrosoftMalware Protection Engine远程代码执行漏洞（CNVD-2018-07296）、MicrosoftWindows GDI权限提升漏洞（CNVD-2018-07324、CNVD-2018-07325）、MicrosoftWindows Installer权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

Apple iOS是为移动设备所开发的一套操作系统；Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。iCloud forWindows是一款基于Windows平台的云服务。WebKit是其中的一个Web浏览器引擎组件。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括：多款Apple产品WebKit内存破坏漏洞（CNVD-2018-07632、CNVD-2018-07633、CNVD-2018-07634、CNVD-2018-07635、CNVD-2018-07643、CNVD-2018-07644、CNVD-2018-07645、CNVD-2018-07646）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国谷歌公司和开放手持设备联盟共同开发的一套以Linux为基础的开源操作系统。Google Chrome是一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏提升权限或执行任意代码等。

CNVD收录的相关漏洞包括：Google AndroidSystem权限提升漏洞（CNVD-2018-07447、CNVD-2018-07448、CNVD-2018-07452）、Google AndroidSystem远程代码执行漏洞（CNVD-2018-07446、CNVD-2018-07449、CNVD-2018-07453、CNVD-2018-07666）、Google Chromeinterstitials命令执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco IOS Software和IOS XESoftware都是美国思科（Cisco）公司为其网络设备开发的操作系统。上周，该产品被披露存在拒绝服务和越权访问漏洞，攻击者可利用漏洞发起拒绝服务攻击或以特权登录设备。

CNVD收录的相关漏洞包括：Cisco IOSSoftware和IOS XE Software拒绝服务漏洞、Cisco IOS Software和IOS XESoftware拒绝服务漏洞（CNVD-2018-07300、CNVD-2018-07302、CNVD-2018-07314）、Cisco IOS XESoftware拒绝服务漏洞（CNVD-2018-07303、CNVD-2018-07304、CNVD-2018-07318）、Cisco IOS XESoftware越权访问漏洞。除“Cisco IOS Software和IOS XE Software拒绝服务漏洞（CNVD-2018-07314）、Cisco IOS XESoftware拒绝服务漏洞（CNVD-2018-07303）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress twitter Style）插件路径遍历漏洞

WordPress是WordPress软件基金会的一套使用PHP语言开发的门户平台。上周，WordPress被披露存在路径遍历漏洞，远程攻击者可借助‘loop’参数中的‘..’序列利用该漏洞读取任意文件。目前，厂商尚未发布漏洞修补程序。

小结

上周，Microsoft被披露存在多个漏洞，攻击者可利用漏洞提升权限或执行任意代码。此外，Google、Apple、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击等。另外，WordPress被披露存在路径遍历漏洞，远程攻击者可借助‘loop’参数中的‘..’序列利用该漏洞读取任意文件。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。