国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞455个，互联网上出现“3CX Phone System目录遍历漏洞、Flexense VX SearchEnterprise缓冲区溢出漏洞”零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　一周行业要闻速览

　　周小川：部分互联网企业以普惠金融为名 行庞氏骗局之实

　　在央行网站11月4日刊发的《守住不发生系统性金融风险的底线》文章中，央行周小川再次提出防控金融风险的要求，其中包括要坚持金融是特许经营行业，不得无证经营或超范围经营。>>详细

　　旺POS推出“微智盾”安全防护 智能POS标准再上新高

　　智能POS的设计不仅要符合银行卡检测中心的相关规范，同时智能芯片与安全芯片的协同工作方式非常重要。简单的以智能手机拼加传统POS的做法来设计智能POS，不真正理解智能设备工作的底层机制，看上去功能同样是可以实现的，但安全上却是在裸奔。>>详细

　　技术观澜

　　详谈WAF与静态统计分析

　　虚拟补丁（VP）近年来一直是保护应用程序最受欢迎的方法之一，如果在Web应用程序防火墙层级添加VP功能，该功能可用于保护Web应用程序免遭已知漏洞的威胁攻击。>>详细

　　图说ARM架构知识

　　ARM架构分为系统架构、安全架构、CPU架构。ARM Generic Interrupt Controller中断控制器分为 GICv2 、GICv3 、GICv4 版本对应不同系列架构。M系列处理器使用NVIC 中断控制器。>>详细

　　GP TEE安全资产问题分析

　　我们知道，安全认证首要目标是明确评估对象的安全资产，也就是会有哪些安全对象需要保护，这是安全轮廓PP的重要部分，也为后续安全目标的制定提供了基本模型分析。>>详细

　　图解手机盾的安全设计

　　手机盾是基于手机端TEE+SE结合PKI技术，在安全模块（SE）中实现认证、交易，在安全界面（TUI）实现PIN码输入、交易信息回显和交易确认，达到“所见即所签”的效果。>>详细

　　安全威胁播报

　　上周漏洞基本情况

　　上周（2017年10月30日-2017年11月05日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞455个，其中高危漏洞97个、中危漏洞316个、低危漏洞42个。漏洞平均分值为5.67。上周收录的漏洞中，涉及0day漏洞105个（占23%），其中互联网上出现“3CX Phone System目录遍历漏洞、Flexense VX SearchEnterprise缓冲区溢出漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数832个，与前周（853个）环比下降2%。

　　上周重要漏洞安全告警

　　Apple产品安全漏洞

　　Apple iOS等都是美国苹果公司的产品。Apple iOS是为移动设备所开发的一套操作系统；tvOS是一套智能电视操作系统。SQLite是其中的一套基于C语言的开源嵌入式关系数据库管理组件。上周，上述产品被披露存在远程代码执行和缓冲区溢出漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Apple iOSWi-Fi组件任意代码执行漏洞、Apple iOS Wi-Fi组件任意代码执行漏洞（CNVD-2017-32728、CNVD-2017-32729、CNVD-2017-32730、CNVD-2017-32731、CNVD-2017-32732）、多款Apple产品SQLite缓冲区溢出漏洞（CNVD-2017-32737、CNVD-2017-32738）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Google产品安全漏洞

　　Android是美国谷歌公司的一套以Linux为基础的开源操作系统。MediaTekauxadc driver是其中的一个转换器驱动程序。Broadcom Wi-Fi driver是其中的一个Wi-Fi驱动模块。上周，上述产品被披露存在远程代码执行和权限提升漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：Google AndroidBroadcom组件远程代码执行漏洞、Google Android MediaTek lastbus权限提升漏洞、Google AndroidMediaTek libmtkomxvdec权限提升漏洞、Google Android MediaTek teei权限提升漏洞、Google AndroidMediaTek组件权限提升漏洞（CNVD-2017-32470、CNVD-2017-32471、CNVD-2017-32472、CNVD-2017-32473）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Microsoft产品安全漏洞

　　Microsoft Windows 7等都是美国微软公司发布的操作系统。Microsoft Edge和InternetExplorer（IE）都是Windows系统附带的Web浏览器。MicrosoftPowerPoint 2007 SP3是Office套件中的一个文档演示工具；SharePointServer 2013 SP1是一套企业业务协作平台；Office Web Apps 2010 SP2是一套基于Web的办公软件套件。MicrosoftOffice 2007 SP3等是办公软件套件产品。上周，上述产品被披露存在内存破坏、权限提升和远程代码执行漏洞，攻击者可利用漏洞获取权限或执行任意代码。

　　CNVD收录的相关漏洞包括：MicrosoftOffice内存破坏漏洞（CNVD-2017-32622）、Microsoft Windows Edge和InternetExplorer JavaScript引擎远程代码执行漏洞、Microsoft Windows Edge和InternetExplorer远程内存破坏漏洞、Microsoft Windows Internet Explorer和EdgeJavaScript引擎远程代码执行漏洞、Microsoft Windows Internet Explorer内存破坏漏洞、MicrosoftWindows Internet Explorer远程代码执行漏洞、Microsoft Windows Kernel'Win32k.sys'本地权限提升漏洞（CNVD-2017-32663）、多款Microsoft产品远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Oracle产品安全漏洞

　　Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的服务器组件。上周，该产品被披露存在拒绝服务漏洞，攻击者可利用漏洞发起拒绝服务攻击。

　　CNVD收录的相关漏洞包括：Oracle MySQLServer拒绝服务漏洞（CNVD-2017-32200、CNVD-2017-32201、CNVD-2017-32203、CNVD-2017-32204、CNVD-2017-32205、CNVD-2017-32206、CNVD-2017-32207、CNVD-2017-32208）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　JanTek JTC-200跨站请求伪造漏洞

　　JanTek JTC-200是台信（JanTek）科技公司的一款TCP/IP转换器（串口服务器）。上周，JanTek被披露存在跨站请求伪造漏洞，远程攻击者可利用该漏洞以用户的身份执行未授权的操作。目前，厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

　　小结

　　上周，Apple被披露存在远程代码执行和缓冲区溢出漏洞，攻击者可利用漏洞执行任意代码。此外，Google、Microsoft、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击等。另外，JanTek被披露存在跨站请求伪造漏洞，远程攻击者可利用该漏洞以用户的身份执行未授权的操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合CNVD、央行网站、移动支付网、安全客、安智客报道