處理器晶元漏洞可致隱私泄露和憑證竊取等次生災害

國家信息安全漏洞共享平台上周共收集、整理信息安全漏洞219個，互聯網上出現「Western Digital My CloudNAS設備命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞（CNVD-2018-00078）」等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞並推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

1.1秒即可完成充電！中國石墨烯技術實現重大突破！

這種新型電池，在零下四五十度的情況下，也能正常工作；即便是被你彎折一萬次，其容量也完全保持；而且，就算你把電芯暴露於火焰中也不會起火或爆炸。>>詳細

西部數據My Cloud 私有雲被曝存在遠程訪問後門

近日，外媒曝光了西部數據 My Cloud 設備存在一個嚴重後門漏洞的消息。別有用心的人們，可以藉此獲得聯網設備的無限制根訪問。>>詳細

中美人工智慧人才現狀與建議

上至國家政府，下至科技巨頭和AI創業公司，無不將AI人才視為提升自身的核心競爭力的根本性戰略。AI人才在哪裡？這就成了戰略成敗的重中之重。>>詳細

技術觀瀾

處理器A級漏洞Meltdown(熔毀)和Spectre(幽靈)分析報告

該漏洞是一個足以動搖全球雲計算基礎設施根基的漏洞，其意味著任何虛擬機的租戶或者入侵了成功一個虛擬機的攻擊者，都可以通過相關攻擊機制去獲取完整的物理機的CPU緩存數據，而這種攻擊對現有虛擬化節點的防禦機制是無法感知的。>>詳細

全方位解析越獄原理

關於iOS最嚴重的秘密之一就是它的root密碼「alpine」。每個人都知道，蘋果也不打算改變它。使用root密碼給用戶訪問設備的核心功能，如果落入不法之徒，這可能是災難性的。>>詳細

PoS端惡意軟體LockPoS攜新型代碼注入技術強勢回歸

網路安全公司Cyberbit的研究人員表示，PoS端惡意軟體LockPoS已經開始利用新的代碼注入技術來危害系統安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2018年01月01日-2018年01月07日）信息安全漏洞威脅整體評價級別為高。

國家信息安全漏洞共享平台（以下簡稱CNVD）上周共收集、整理信息安全漏洞219個，其中高危漏洞63個、中危漏洞144個、低危漏洞12個。漏洞平均分值為6.02。上周收錄的漏洞中，涉及0day漏洞51個（佔23%），其中互聯網上出現「Western Digital My CloudNAS設備命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞（CNVD-2018-00078）」等零日代碼攻擊漏洞。

上周重要漏洞安全告警

CPU處理器內核存在Meltdown和Spectre漏洞

CPU hardware是一套運行在CPU（中央處理器）中用於管理和控制CPU的固件。上周，CPU處理器內核被披露存在Meltdown和Spectre漏洞，攻擊者可以繞過內存訪問的安全隔離機制，使用惡意程序來獲取操作系統和其他程序的被保護數據，造成內存敏感信息泄露。

CNVD收錄的相關漏洞包括：CPU處理器內核存在Spectre漏洞、CPU處理器內核存在Meltdown漏洞、CPU處理器內核存在Meltdown漏洞（CNVD-2018-00304）。目前，廠商尚未發布漏洞修補程序。

Western Digital產品安全漏洞

Western Digital MyCloudNAS是一款網路連接存儲設備。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、上傳任意文件或發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：WesternDigital My Cloud NAS設備拒絕服務漏洞、Western Digital My CloudNAS設備跨站請求偽造漏洞、Western Digital My Cloud NAS設備命令注入漏洞、WesternDigital My Cloud NAS設備無限制文件上傳漏洞、Western Digital My CloudNAS設備信息泄露漏洞、Western Digital My Cloud NAS設備硬編碼後門漏洞。上述漏洞的綜合評級為「高危」。目前，廠商尚未發布漏洞修補程序。

Microsoft產品安全漏洞

Microsoft Windows 10是一套供個人電腦使用的操作系統，Windows Server2016是一套伺服器操作系統。Edge是其中的一個系統附帶的默認瀏覽器。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：MicrosoftWindows Edge和Microsoft ChakraCore遠程代碼執行漏洞、MicrosoftWindows Edge和Microsoft ChakraCore遠程代碼執行漏洞（CNVD-2018-00324、CNVD-2018-00325、CNVD-2018-00326、CNVD-2018-00327、CNVD-2018-00328、CNVD-2018-00330、CNVD-2018-00331）。上述漏洞的綜合評級為「高危」。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

Apple macOS High Sierra是美國蘋果（Apple）公司為Mac計算機所開發的一套專用操作系統，tvOS是一套智能電視操作系統。watchOS是一套智能手錶操作系統，iOS是一套為移動設備所開發的操作系統，上周，上述產品被披露存在內存破壞、越界讀取或輸入驗證漏洞，攻擊者可利用漏洞執行任意代等。

CNVD收錄的相關漏洞包括：Apple iOS和macOS HighSierra IOKit組件內存破壞漏洞、Apple macOS High Sierra Intel Graphics Driver內存破壞漏洞、Apple macOSHigh Sierra Intel Graphics Driver越界讀取漏洞、Apple macOSHigh Sierra IOKit組件輸入驗證漏洞、Apple macOS High SierraIOKit組件輸入驗證漏洞（CNVD-2018-00184）、多款Apple產品Kernel內存破壞漏洞（CNVD-2018-00180、CNVD-2018-00182、CNVD-2018-00183）。上述漏洞的綜合評級為「高危」。目前，廠商已經發布了上述漏洞的修補程序。

K7 AntiVirus空指針解引用漏洞

K7 Antivirus是印度K7 Computing公司的一套反病毒軟體。上周，K7 Computing被披露存在空指針解引用漏洞，攻擊者可通過發送0x95002570 DeviceIoControl請求利用該漏洞造成拒絕服務（空指針逆向引用）。目前，廠商尚未發布漏洞修補程序。

小結

上周，WesternDigital被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、上傳任意文件或發起拒絕服務攻擊等。此外，Microsoft、Apple、ImageMagick等多款產品被披露存在多個漏洞，攻擊者可利用漏洞上傳任意文件、執行任意代碼或發起拒絕服務攻擊等。另外，K7 Computing被披露存在空指針解引用漏洞，攻擊者可通過發送0x95002570 DeviceIoControl請求利用該漏洞造成拒絕服務（空指針逆向引用）。建議相關用戶隨時關註上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、cnBeta、今日互聯網頭條、中國支付清算協會、FreebuF、嘶吼RoarTalk報道

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！