双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2017-0004

近年來，隨著智能手機(jī)、可穿戴設(shè)備、活動追蹤器、無線網(wǎng)絡(luò)、智能汽車、智能家居等終端設(shè)備和網(wǎng)絡(luò)設(shè)備的迅速發(fā)展和普及利用，針對IOT設(shè)備的網(wǎng)絡(luò)攻擊事件比例呈上升趨勢，攻擊者利用IOT設(shè)備漏洞可導(dǎo)致設(shè)備拒絕服務(wù)、獲取設(shè)備控制權(quán)限進(jìn)而形成大規(guī)模惡意代碼控制網(wǎng)絡(luò)，或用于用戶信息數(shù)據(jù)竊取、網(wǎng)絡(luò)流量劫持等其他黑客地下產(chǎn)業(yè)交易。國家信息安全漏洞共享平臺（以下簡稱CNVD）對2016年收錄的IOT設(shè)備漏洞（含通用軟硬件漏洞以及針對具體目標(biāo)系統(tǒng)的事件型漏洞）進(jìn)行了統(tǒng)計(jì)，相關(guān)情況簡報如下：

一、IOT設(shè)備通用漏洞按廠商排名

2016年CNVD收錄IOT設(shè)備漏洞1117個，漏洞涉及Cisco、Huawei、Google、Moxa等廠商。其中，傳統(tǒng)網(wǎng)絡(luò)設(shè)備廠商思科（Cisco）設(shè)備漏洞356條，占全年IOT設(shè)備漏洞的32%；華為（Huawei）位列第二，共收錄155條；安卓系統(tǒng)提供商谷歌（Google）位列第三，工業(yè)設(shè)備產(chǎn)品提供廠商摩莎科技（Moxa）、西門子（Siemens）分列第四和第五。

圖 1 IOT設(shè)備漏洞數(shù)量TOP廠商排名（來源：CNVD）

二、IOT設(shè)備通用漏洞按風(fēng)險技術(shù)類型分布

2016年CNVD收錄IOT設(shè)備漏洞類型分別為權(quán)限繞過、拒絕服務(wù)、信息泄露、跨站、命令執(zhí)行、緩沖區(qū)溢出、SQL注入、弱口令、設(shè)計(jì)缺陷等漏洞。其中，權(quán)限繞過、拒絕服務(wù)、信息泄露漏洞數(shù)量位列前三，分別占收錄漏洞總數(shù)的23%，19%，13%。而對于弱口令（或內(nèi)置默認(rèn)口令）漏洞，雖然在統(tǒng)計(jì)比例中漏洞條數(shù)占比不大（2%），但實(shí)際影響卻十分廣泛，成為惡意代碼攻擊利用的重要風(fēng)險點(diǎn)。

圖 2 按漏洞類型TOP分布（來源：CNVD）

三、IOT設(shè)備通用漏洞按設(shè)備標(biāo)簽類型分布

2016年CNVD公開收錄1117個IOT設(shè)備漏洞中，影響設(shè)備的類型（以標(biāo)簽定義）包括網(wǎng)絡(luò)攝像頭、路由器、手機(jī)設(shè)備、防火墻、網(wǎng)關(guān)設(shè)備、交換機(jī)等。其中，網(wǎng)絡(luò)攝像頭、路由器、手機(jī)設(shè)備漏洞數(shù)量位列前三，分別占公開收錄漏洞總數(shù)的10%，9%，5%。

圖 3 漏洞（通用）按設(shè)備類型TOP分布（來源：CNVD）

四、IOT設(shè)備事件型漏洞按設(shè)備標(biāo)簽類型分布

根據(jù)CNVD白帽子、補(bǔ)天平臺以及漏洞盒子等來源的匯總信息，2016年CNVD收錄IOT設(shè)備事件型漏洞540個。與通用軟硬件漏洞影響設(shè)備標(biāo)簽類型有所不同，主要涉及交換機(jī)、路由器、網(wǎng)關(guān)設(shè)備、GPS設(shè)備、手機(jī)設(shè)備、智能監(jiān)控平臺、網(wǎng)絡(luò)攝像頭、打印機(jī)、一卡通產(chǎn)品等。其中，GPS設(shè)備、一卡通產(chǎn)品、網(wǎng)絡(luò)攝像頭漏洞數(shù)量位列前三，分別占公開收錄漏洞總數(shù)的22%，7%，7%。值得注意的是，目前政府、高校以及相關(guān)行業(yè)單位陸續(xù)建立一些與交通、環(huán)境、能源、校園管理相關(guān)的智能監(jiān)控平臺，這些智能監(jiān)控平臺漏洞占比雖然較少（2%），但一旦被黑客攻擊，帶來的實(shí)際威脅卻是十分嚴(yán)重的。

圖 4 漏洞（通用）按設(shè)備類型TOP分布（來源：CNVD）

五、傳統(tǒng)網(wǎng)絡(luò)設(shè)備漏洞收錄統(tǒng)計(jì)

根據(jù)CNVD平臺近五年公開發(fā)布的網(wǎng)絡(luò)設(shè)備（含路由器、交換機(jī)、防火墻以及傳統(tǒng)網(wǎng)絡(luò)設(shè)備網(wǎng)關(guān)等產(chǎn)品）漏洞數(shù)量分布分析，傳統(tǒng)網(wǎng)絡(luò)設(shè)備漏洞數(shù)量總體呈上升趨勢。2016年CNVD公開發(fā)布的網(wǎng)絡(luò)設(shè)備漏洞697條，與去年環(huán)比增加27%。

圖5CNVD收錄網(wǎng)絡(luò)設(shè)備漏洞近五年數(shù)量分布（來源：CNVD）

附：CNVD 2016年收錄的典型IOT設(shè)備漏洞案例

1、Fortigate防火墻存在SSH認(rèn)證“后門”漏洞（CNVD-2016-00170）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00170

FortiGate(飛塔防火墻)是Fortinet（飛塔）公司推出的網(wǎng)絡(luò)防火墻產(chǎn)品，用于防御網(wǎng)絡(luò)層和內(nèi)容層的網(wǎng)絡(luò)和惡意代碼等攻擊。根據(jù)境外研究者的分析以及相關(guān)驗(yàn)證情況，業(yè)內(nèi)認(rèn)定FortiGate防火墻存在一處“后門”漏洞，漏洞形成的原因是由于FortiGate防火墻Fortimanager_Access用戶的密碼采用較為簡單的算法來生成,攻擊者通過分析破解后可直接獲得認(rèn)證的最高權(quán)限（root）權(quán)限，進(jìn)而控制防火墻設(shè)備，后續(xù)攻擊者可通過防火墻作為跳板，滲透內(nèi)部區(qū)域網(wǎng)絡(luò)，進(jìn)行信息嗅探、數(shù)據(jù)攔截等操作。CNVD對該漏洞的綜合評級為“高危”。

2、Cisco ASA Software IKE密鑰交換協(xié)議緩沖區(qū)溢出漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00929

Cisco ASA是一款自適應(yīng)安全設(shè)備，可提供安全和VPN服務(wù)的模塊化平臺，可提供防火墻、IPS、anti-X和VPN服務(wù)。由于Cisco ASA Software分段協(xié)議中的IKE網(wǎng)絡(luò)密鑰交換算法存在設(shè)計(jì)缺陷，IKEv1及IKEv2代碼中存在緩沖區(qū)溢出漏洞。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者利用漏洞發(fā)送特制的UDP數(shù)據(jù)包到受影響系統(tǒng)，可致設(shè)備重載或遠(yuǎn)程代碼執(zhí)行，進(jìn)而可獲取到目標(biāo)系統(tǒng)的完整控制權(quán)。CNVD對該漏洞的綜合評級為“高?！?。

3、Pulse Secure Desktop Client (Juniper Junos Pulse) 權(quán)限提升漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-05257

Pulse Secure Desktop Client（原用名為Juniper Junos Pulse）是訪問 Juniper Pulse Secure網(wǎng)關(guān)的終端設(shè)備的客戶端程序軟件，Pulse Secure Desktop Client安裝的系統(tǒng)服務(wù)dsAccessService.exe會創(chuàng)建一個名為NeoterisSetupService的命名管道。該命名管道的訪問控制列表被設(shè)置為Everyone完全控制，所有用戶均具有讀寫權(quán)限。管道服務(wù)端使用了自定義的加密算法，該管道用于安裝新的系統(tǒng)服務(wù)時，可以作為自動升級機(jī)制的一部分。當(dāng)有新數(shù)據(jù)寫入管道時，這段數(shù)據(jù)會被當(dāng)作文件路徑解密，指向的文件會被復(fù)制到C:\Windows\Temp\并執(zhí)行。服務(wù)安裝邏輯在dsInstallService.dll中實(shí)現(xiàn)，它首先讀入路徑并從路徑中切出文件名。這個實(shí)現(xiàn)邏輯存在一個漏洞：只切出了路徑中“\”字符之后的部分，但忽略了“/”字符。攻擊者可以傳入一個惡意構(gòu)造的路徑，再通過DLL劫持的方式即可實(shí)現(xiàn)權(quán)限提升和任意代碼執(zhí)行。CNVD對該漏洞的綜合評級為“高?！薄?/p>

4、網(wǎng)件Netgear多款路由器存在任意命令注入漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-12093

Netgear R7000、R6400和R8000是美國網(wǎng)件（Netgear）公司的無線路由器產(chǎn)品。Netgear上述路由器的固件包含一個任意命令注入漏洞。遠(yuǎn)程攻擊者可能誘使用戶訪問精心構(gòu)建的web站點(diǎn)或誘使用戶點(diǎn)擊設(shè)置好的URL，從而以設(shè)備root用戶權(quán)限在受影響的路由器上執(zhí)行任意命令。CNVD對該漏洞的技術(shù)評級為“高?！?。

5、多款Sony網(wǎng)絡(luò)攝像頭產(chǎn)品存在后門賬號風(fēng)險

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11973

Sony公司IPELA ENGINE IP系列攝像頭產(chǎn)品包含多個產(chǎn)品型號,其中以SNC-*編號的攝像頭原固件中，web版管理控制臺包含兩個經(jīng)過硬編碼且永久開啟的賬號，分別是用戶名debug/密碼popeyeConnection及用戶名primana/密碼primana，后者可用來開啟Telnet訪問，甚至可獲取攝像頭管理員權(quán)限。遠(yuǎn)程攻擊者利用漏洞可使用Telnet/SSH服務(wù)進(jìn)行遠(yuǎn)程管理，從而獲得攝像頭產(chǎn)品的完全控制權(quán)。CNVD對該漏洞的技術(shù)評級為“高危”。

6、Android MediaTek GPS驅(qū)動提權(quán)漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-04723

Android on Android One是美國谷歌（Google）公司和開放手持設(shè)備聯(lián)盟（簡稱OHA）共同開發(fā)的一套運(yùn)行于Android One（智能手機(jī)）中并以Linux為基礎(chǔ)的開源操作系統(tǒng)。MediaTek GPS driver是使用在其中的一個聯(lián)發(fā)科（MediaTek）公司開發(fā)的GPS驅(qū)動組件。Android One設(shè)備上的Android 2016-07-05之前版本中的MediaTek GPS驅(qū)動存在提權(quán)漏洞。攻擊者可利用該漏洞借助特制的應(yīng)用程序獲取特權(quán)。CNVD對該漏洞的技術(shù)評級為“高?！薄?/p>

7、多款mtk平臺手機(jī)廣升FOTA服務(wù)存在system權(quán)限提升漏洞（魅魔漏洞）

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11347

上海廣升信息技術(shù)股份有限公司是全球領(lǐng)先的終端管理云平臺提供商，F(xiàn)OTA（無線升級）為IoT設(shè)備（智能汽車、穿戴、家居、VR等）提供專業(yè)的無線升級解決方案。多款mtk平臺手機(jī)廣升FOTA服務(wù)存在system權(quán)限提升漏洞。由于使用廣升FOTA服務(wù)的手機(jī)存在某綁定服務(wù)的系統(tǒng)app存在漏洞，可達(dá)到以system權(quán)限執(zhí)行命令。攻擊者利用漏洞可將權(quán)限提升至system權(quán)限。CNVD對該漏洞的綜合評級為“中?！薄?/p>

8、格爾安全認(rèn)證網(wǎng)關(guān)系統(tǒng)存在多處命令執(zhí)行漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-09983

格爾安全認(rèn)證網(wǎng)關(guān)為網(wǎng)絡(luò)應(yīng)用提供基于數(shù)字證書的高強(qiáng)度身份認(rèn)證服務(wù)和高強(qiáng)度數(shù)據(jù)鏈路加密服務(wù)。格爾安全認(rèn)證網(wǎng)關(guān)系統(tǒng)存在多處命令執(zhí)行漏洞。攻擊者利用漏洞可構(gòu)造請求，執(zhí)行任意命令，寫入webshell，獲取服務(wù)器權(quán)限，構(gòu)成敏感信息泄露。CNVD對該漏洞的綜合評級為“高?！?。

9、Android NVIDIA攝像頭驅(qū)動程序權(quán)限獲取漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-09382

Android on Nexus 9是美國谷歌（Google）公司和開放手持設(shè)備聯(lián)盟（簡稱OHA）共同開發(fā)的一套運(yùn)行于Nexus 9（平板電腦）中并以Linux為基礎(chǔ)的開源操作系統(tǒng)。NVIDIA camera driver是使用在其中的一個攝像頭驅(qū)動程序?；贜exus 9設(shè)備上的Android 2016-10-05之前的版本中的NVIDIA攝像頭驅(qū)動程序存在權(quán)限獲取漏洞。攻擊者可借助特制的應(yīng)用程序利用該漏洞獲取權(quán)限。CNVD對該漏洞的綜合評級為“高?！?。

10、Lexmark打印機(jī)競爭條件漏洞

http://www.cnvd.org.cn/flaw/show/CNVD-2016-00801

Lexmark printer是美國利盟公司的一款打印機(jī)產(chǎn)品。Lexmark打印機(jī)的初始化進(jìn)程中存在競爭條件漏洞。遠(yuǎn)程攻擊者通過security-jumper狀態(tài)的不正確檢測繞過身份驗(yàn)證。CNVD對該漏洞的綜合評級為“高?！薄?/p>