IIC 用三大維度定義新型物聯網安全

原創出品

IIC

用三大維度定義新型物聯網安全

作者：韓希宇 來源：中國電子銀行網

國家信息安全漏洞共享平台上周共收集、整理信息安全漏洞316個，互聯網上出現「Tenda AC15 Router遠程代碼執行漏洞、WordPress Ajax Pagination（twitter Style）插件路徑遍歷漏洞」等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，告警重要漏洞並推出技術觀瀾，深入探討信息安全知識。

一周行業要聞速覽

工業互聯網聯盟（IIC）發布新型物聯網安全成熟度模型（SMM）

治理涵蓋戰略、實踐和流程的運作和管理，如威脅建模和風險評估以及供應鏈管理。支持包括傳統安全技術的操作和管理，如身份和訪問管理、數據保護、資產管理、物理管理等。強化則是關於漏洞和補丁管理的運營方面，以及事件響應和審計等。

泰國最大的4G移動運營商TrueMove H遭遇數據泄露

運營商向在線客戶公開存儲在亞馬遜AWS S3存儲桶中的個人數據。泄露的數據還包括身份證件的掃描，數據一直保留至4月12日，當時該公司限制訪問

重磅！剛剛！美國禁止中興進口晶元！

美國商務部稱，中興公司因未徹底執行一項處罰條款，將被禁止在7年內從美國進口通訊設備元件！

暴風等知名軟體廣告頁遭「掛馬攻擊」十多萬用戶被病毒感染

火絨安全團隊發出安全警報，國內多家知名軟體、網站的廣告頁面遭到病毒團伙的「掛馬攻擊」。用戶訪問該頁面，即會觸發瀏覽器漏洞，導致病毒代碼被自動激活。

一文看懂集成電路晶元的成本計算

大規模集成電路晶元，比如SOC，由多核CPU和GPU組成，用於智能手機主晶元、車載多媒體和導航系統，或者特定用途的集成電路晶元ASIC，用於電子控制模塊的信號處理，演算法運行和控制執行部件。

CVE申請的那些事

對於新手來說申請CVE總是摸不清門道，總覺得像這種國際化的高大上漏洞很難申請到，其實則不然，CVE的全稱是「Common Vulnerabilities and Exposures」翻譯成中文就是「公共漏洞和披露」可以把它理解成一個被安全從業者認可的漏洞字典。

安全威脅播報

上周漏洞基本情況

上周（2018年04月09日-2018年04月15日）信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平台（以下簡稱CNVD）上周共收集、整理信息安全漏洞316個，其中高危漏洞113個、中危漏洞188個、低危漏洞15個。漏洞平均分值為5.96。上周收錄的漏洞中，涉及0day漏洞80個（佔25%），其中互聯網上出現「Tenda AC15 Router遠程代碼執行漏洞、WordPress Ajax Pagination（twitter Style）插件路徑遍歷漏洞」等零日代碼攻擊漏洞

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows 10和Windows Server2016等都是美國微軟（Microsoft）公司的一系列操作系統。MicrosoftWindows Installer是一款Windows應用程序的安裝和配置服務。MicrosoftMalware Protection Engine是惡意程序保護引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升許可權或執行任意代碼。

CNVD收錄的相關漏洞包括：MicrosoftDesktopBridge VFS許可權提升漏洞、Microsoft Edge scripting引擎內存破壞漏洞（CNVD-2018-07281）、MicrosoftInternet Explorer內存破壞漏洞（CNVD-2018-07279、CNVD-2018-07326）、MicrosoftMalware Protection Engine遠程代碼執行漏洞（CNVD-2018-07296）、MicrosoftWindows GDI許可權提升漏洞（CNVD-2018-07324、CNVD-2018-07325）、MicrosoftWindows Installer許可權提升漏洞。上述漏洞的綜合評級為「高危」。目前，廠商已經發布了上述漏洞的修補程序。

Apple產品安全漏洞

Apple iOS是為移動設備所開發的一套操作系統；Safari是一款Web瀏覽器，是Mac OS X和iOS操作系統附帶的默認瀏覽器。iCloud forWindows是一款基於Windows平台的雲服務。WebKit是其中的一個Web瀏覽器引擎組件。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼或發起拒絕服務攻擊。

CNVD收錄的相關漏洞包括：多款Apple產品WebKit內存破壞漏洞（CNVD-2018-07632、CNVD-2018-07633、CNVD-2018-07634、CNVD-2018-07635、CNVD-2018-07643、CNVD-2018-07644、CNVD-2018-07645、CNVD-2018-07646）。上述漏洞的綜合評級為「高危」。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。Google Chrome是一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏提升許可權或執行任意代碼等。

CNVD收錄的相關漏洞包括：Google AndroidSystem許可權提升漏洞（CNVD-2018-07447、CNVD-2018-07448、CNVD-2018-07452）、Google AndroidSystem遠程代碼執行漏洞（CNVD-2018-07446、CNVD-2018-07449、CNVD-2018-07453、CNVD-2018-07666）、Google Chromeinterstitials命令執行漏洞。上述漏洞的綜合評級為「高危」。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco IOS Software和IOS XESoftware都是美國思科（Cisco）公司為其網路設備開發的操作系統。上周，該產品被披露存在拒絕服務和越權訪問漏洞，攻擊者可利用漏洞發起拒絕服務攻擊或以特權登錄設備。

CNVD收錄的相關漏洞包括：Cisco IOSSoftware和IOS XE Software拒絕服務漏洞、Cisco IOS Software和IOS XESoftware拒絕服務漏洞（CNVD-2018-07300、CNVD-2018-07302、CNVD-2018-07314）、Cisco IOS XESoftware拒絕服務漏洞（CNVD-2018-07303、CNVD-2018-07304、CNVD-2018-07318）、Cisco IOS XESoftware越權訪問漏洞。除「Cisco IOS Software和IOS XE Software拒絕服務漏洞（CNVD-2018-07314）、Cisco IOS XESoftware拒絕服務漏洞（CNVD-2018-07303）」外，其餘漏洞的綜合評級為「高危」。目前，廠商已經發布了上述漏洞的修補程序。

WordPress twitter Style）插件路徑遍歷漏洞

WordPress是WordPress軟體基金會的一套使用PHP語言開發的博客平台。上周，WordPress被披露存在路徑遍歷漏洞，遠程攻擊者可藉助『loop』參數中的『..』序列利用該漏洞讀取任意文件。目前，廠商尚未發布漏洞修補程序。

小結

上周，Microsoft被披露存在多個漏洞，攻擊者可利用漏洞提升許可權或執行任意代碼。此外，Google、Apple、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼、提升許可權或發起拒絕服務攻擊等。另外，WordPress被披露存在路徑遍歷漏洞，遠程攻擊者可藉助『loop』參數中的『..』序列利用該漏洞讀取任意文件。建議相關用戶隨時關註上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CSDN、HackerNews.cc、FreebuF.COM、芯論、看雪學院、嘶吼RoarTalk報道

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！