面对防欺诈 区块链并非无懈可击的安全屏障

　　国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞460个，互联网上出现“WordPress拒绝服务漏洞（CNVD-2018-05439）、MalwareFox AntiMalware本地权限提升漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，告警重要漏洞并推出技术观澜，深入探讨信息安全知识。

　　对于各国来说，“量子计算”已经成为圣杯，中国互联网巨头也不甘落后，积极向量子计算投资。在量子计算研究方面，百度、阿里巴巴、腾讯已经开始布局，它们向一些项目提供资金支持，这些项目可能会成为垫脚石，为“超级计算机之母”量子计算的商用铺平道路。

　　最先开始，安全研究人员发现有不少用户吐槽手机运行速度大幅变慢，并且总是接收到“系统 WIFI 服务”崩溃的提示，按理来说，一家这样不奇怪，但如果多款手机都出现这样的问题，就有点蹊跷了。

　　虽然大多数人认为生物认证就是静态密码，它会比密码、PIN、和个人验证问题更加安全，但遗憾的是，也有一小部分人对此表示担忧。因为，只有10％受访者表示仅使用生物认证技术就可以获得足够的安全保障。

　　在公有链中，常见的误解是以为所有的交易数据都是公开的，没有隐私。这种想法与事实相差十万八千里。 被公开的交易信息只有交易金额以及hash——将交易细节通过一段加密函数得到的一段密码。

　　有研究人员发现HotSpot Shield、PureVPN和Zenmate三款流行VPN存在着安全漏洞，这些漏洞会泄露用户真实IP地址和其他敏感数据，目前已经影响数百万用户。

　　上周（2018年03月12日-2018年03月18日）信息安全漏洞威胁整体评价级别为中。

　　国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞460个，其中高危漏洞130个、中危漏洞292个、低危漏洞38个。漏洞平均分值为5.64。上周收录的漏洞中，涉及0day漏洞68个（占15%），其中互联网上出现“WordPress拒绝服务漏洞（CNVD-2018-05439）、MalwareFox AntiMalware本地权限提升漏洞”等零日代码攻击漏洞。

　　Acrobat DC ContinuousTrack等都是美国奥多比（Adobe）公司的产品。Acrobat DCContinuous Track是一款桌面版PDF解决方案的连续更新版本。Reader DCContinuous Track是一款PDF阅读工具的连续更新版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

　　CNVD收录的相关漏洞包括：多款Adobe产品越界内存读取漏洞（CNVD-2018-05018、CNVD-2018-05019、CNVD-2018-05020、CNVD-2018-05021、CNVD-2018-05022、CNVD-2018-05023、CNVD-2018-05024、CNVD-2018-05025）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Microsoft Windows是美国微软公司发布的一系列操作系统。Windows kernel是其中的一个操作系统内核。MicrosoftOutlook是一套Office套件中的电子邮件客户端软件。Office Click-to-Run（C2R）是一套办公软件套件产品。上周，上述产品被披露存在权限提升、代码执行和内存破坏漏洞，攻击者可利用漏洞提升权限或执行任意代码。

　　CNVD收录的相关漏洞包括：MicrosoftOffice 2016 Click-to-Run远程代码执行漏洞、Microsoft Outlook内存破坏漏洞、MicrosoftWindows kernel权限提升漏洞（CNVD-2018-05033、CNVD-2018-05037、CNVD-2018-05038、CNVD-2018-05039、CNVD-2018-05040、CNVD-2018-05041）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Android是一种基于Linux的自由及开放源代码的操作系统，由谷歌公司和开放手机联盟领导及开发。上周，该产品被披露存在权限提升漏洞，攻击者可利用漏提升权限。

　　CNVD收录的相关漏洞包括：Google AndroidKernel组件权限提升漏洞（CNVD-2018-05460）、Google Android Qualcomm组件权限提升漏洞（CNVD-2018-05452、CNVD-2018-05453、CNVD-2018-05454、CNVD-2018-05455、CNVD-2018-05456、CNVD-2018-05457、CNVD-2018-05458）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　Schneider Electric PelcoSarix Professional是法国施耐德电气公司的一款视频监控设备。上周，该产品被披露存在多个漏洞，攻击者可利用漏洞执行任意命令、提升权限或下载任意文件等。

　　CNVD收录的相关漏洞包括：SchneiderElectric Pelco Sarix Professional缓冲区溢出漏洞、SchneiderElectric Pelco Sarix Professional命令执行漏洞、SchneiderElectric Pelco Sarix Professional命令执行漏洞（CNVD-2018-05325、CNVD-2018-05326）、Schneider ElectricPelco Sarix Professional权限提升漏洞、Schneider Electric Pelco SarixProfessional权限提升漏洞（CNVD-2018-05321）、Schneider Electric PelcoSarix Professional任意文件删除漏洞、Schneider Electric PelcoSarix Professional任意文件下载漏洞。除“Schneider Electric PelcoSarix Professional任意文件删除漏洞、Schneider Electric PelcoSarix Professional任意文件下载漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

　　OMRON NS devices是欧姆龙（Omron）公司的一款触摸屏人机界面编程设备。上周，OMRON被披露存在认证绕过漏洞，远程攻击者可通过向.html文件发送直接请求利用该漏洞绕过身份验证。目前，厂商尚未发布漏洞修补程序。

　　上周，Adobe被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，Google、Microsoft、SchneiderElectric等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码、提升权限或删除任意文件等。另外，OMRON被披露存在认证绕过漏洞，远程攻击者可通过向.html文件发送直接请求利用该漏洞绕过身份验证。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

　　中国电子银行网综合51CTO、雷锋网、嘶吼RoarTalk、CSDN报道