金融黑科技攻击国外ATM 两招可轻松躲避

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞211个，互联网上出现“PHP Scripts Mall CabBooking Script SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

一周行业要闻速览

暗网暴露14 亿明文密码库 或成史上最大规模数据泄露案

令人担忧的是，这些密码都没有进行加密。研究人员通过随机抽检发现大部分都是真实密码，其中大约有 14％ 的用户名和密码组合以前并未被黑客社区解密，而现在却以明文形式呈现。

ATM攻击再现利器！可躲避金融机构的反攻击技术

犯罪分子正在使用一种名为“Smart Shield Detector”（智能屏蔽探测器）的小型电池供电设备来检测ATM设备是否受到anti-skimming（反skimmer）技术保护。

谷歌苹果竟齐翻车！谈谈安卓8/iOS11那些Bug

无论是安卓和苹果，新版本的系统都并没有得到用户的一致好评，这俩系统不约而同的出现了大量问题，让用户不得不困惑谷歌和苹果这都是怎么了？

技术观澜

Windows 10系统预装密码管理器 可能被黑客利用获取用户密码！

Google白帽黑客Tavis Ormandy表示，某些Windows 10系统中预装了第三方密码管理器应用程序，可能被黑客利用，远程窃取用户凭据。

劫持数字签名"洗白"恶意程序

劫持数字签名是一种可用于绕过设备保护限制，以及在red team评估过程中隐藏自定义恶意软件的技术，Matt Graeber在他的研究中发现了如何绕过数字签名散列验证的方法。

寻找IOS内核符号

Google的Project Zero项目组成员Ian Beer在Twitter上发文称他发现了通过task_for_pid_0或tfp0获取内核内存读写权限的方法。这一发现可以帮助到那些引导IOS 11内核安全研究的人们。

安全威胁播报

上周漏洞基本情况

上周（2017年12月11日-2017年12月17日）信息安全漏洞威胁整体评价级别为高。

国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞211个，其中高危漏洞87个、中危漏洞100个、低危漏洞24个。漏洞平均分值为5.94上周收录的漏洞中，涉及0day漏洞54个（占26%），其中互联网上出现“PHP Scripts Mall CabBooking Script SQL注入漏洞”等零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数567个，与前周（648个）环比减少12%。

上周重要漏洞安全告警

Apache Synapse存在远程代码执行漏洞

Apache Synapse是一个简单的、高质量开放源代码的替代方法。上周，该产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Apache Synapse远程代码执行漏洞。该漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Palo Alto Networks存在远程代码执行漏洞

Palo Alto Networks PAN-OS是美国Palo AltoNetworks公司为其防火墙设备开发的一套操作系统。上周，该产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Palo AltoNetworks PAN-OS远程代码执行漏洞。该漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Android是美国谷歌公司的一套以Linux为基础的开源操作系统。NVIDIA driver是使用在其中的美国英伟达（NVIDIA）公司开发的图形显卡驱动程序。MediaTekDisplay driver是联发科（MediaTek）公司开发的显示驱动组件。Framework是一个字体处理库。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Google AndroidFramework权限提升漏洞（CNVD-2017-36906、CNVD-2017-36907）、Google AndroidMediaTek组件权限提升漏洞（CNVD-2017-36931、CNVD-2017-36932、CNVD-2017-36933）、Google AndroidNVIDIA组件权限提升漏洞（CNVD-2017-36937、CNVD-2017-36938、CNVD-2017-36939）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Excel 2016是美国微软（Microsoft）公司Office套件中的一款电子表格处理软件。MicrosoftOffice 2010是一款办公软件套件。Microsoft Windows 7 SP1等是一系列操作系统。MicrosoftASP.NET Core是一个跨平台开源框架。上周，上述产品被披露存在权限提升、远程代码执行和拒绝服务漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击。

CNVD收录的相关漏洞包括：MicrosoftASP.NET Core拒绝服务漏洞（CNVD-2017-37109、CNVD-2017-37113）、MicrosoftExcel 2016 Click-to-Run远程代码执行漏洞、Microsoft Office远程代码执行漏洞（CNVD-2017-37106、CNVD-2017-37107）、MicrosoftWindows Edge ChakraCore远程代码执行漏洞、Microsoft WindowsInternet Explorer远程代码执行漏洞（CNVD-2017-37103）、MicrosoftWindows Kernel权限提升漏洞（CNVD-2017-37120）。除“MicrosoftASP.NET Core拒绝服务漏洞（CNVD-2017-37109、CNVD-2017-37113）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Xiongmai Technology IP Cameras and DVRs堆栈缓冲区溢出漏洞

IP Cameras and DVRs是雄迈信息技术有限公司（Xiongmai Technology）生产的一款IP摄像机和录像机。上周，Xiongmai Technology被披露存在堆栈缓冲区溢出漏洞，攻击者可远程执行代码或使设备崩溃。目前，厂商尚未发布漏洞修补程序。

小结

上周，Apache Synapse被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。此外，Palo AltoNetworks、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击等。另外，Xiongmai Technology被披露存在堆栈缓冲区溢出漏洞，攻击者可远程执行代码或使设备崩溃。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、安全客、FreebuF、太平洋电脑网、嘶吼RoarTalk、HackerNews.cc报道