首页 > 安全视点  > 正文

信息安全周报:盘点六种移动支付 或存安全隐患

    来源:中国电子银行网综合

  一周要闻速览:

  【银监会治理电信网络犯罪 同一银行借记卡不得超过4张】

  在一年一度的“3·15消费者权益保护日”来临之际,银监会印发了《关于银行业打击治理电信网络新型违法犯罪有关工作事项的通知》,明确要求同一商业银行为同一客户开立借记卡原则上不得超过4张,社保卡、医保卡等专属账户的借记卡除外。>>详细

  【央行重拳出击整治银行卡收单市场秩序】

  根据“统一部署,分级实施,规范业务,突出重点”的抽查方案,人民银行总行采取直接飞行检查与分支行属地检查同步结合方式,以规范外包、打击二清为核心,对虚假商户入网、违规开放交易接口、违规多次转包业务等严厉打击、严肃查处。>>详细

  【顶级恶意软件威胁亚洲的工业系统】

  整个亚洲的各个大型企业以及各国政府目前正在积极推动数字化建设和信息科技的发展,而这也就给黑客和网络犯罪分子们提供了可乘之机。这些恶意的攻击者会抓住一切机会来从企业和政府等机构中窃取敏感数据,有时他们甚至还会盗取金钱。>>详细

  【吴晓灵:警惕全球过度运用货币政策】

  中国整体债务率不是突出的高,在全球处于中等偏下水平,但是中国债务结构不合理,需要整体债务结构的调整,以中国银行不良贷款率为例,中国银行不良率好于发达国家不良水平,通过市场化、法制化手段处置不良贷款和无效企业,同时,打破刚性兑付处置金融产品和信用风险,可以化解金融风险。>>详细

  【盘点移动支付的六种方式】

  现在的年轻人外出都不爱带现金,因为怕不安全么?当然不是,因为手机移动支付真的很方便。但是使用手机进行支付的话就真的会有安全隐患,所以各种各样的支付方式出现在了我们面前。>>详细

  安全漏洞周报:

  上周漏洞基本情况

  上周信息安全漏洞威胁整体评价级别为高。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞119个,其中高危漏洞68个、中危漏洞46个、低危漏洞5个。漏洞平均分值为7.07分。上周收录的漏洞中,涉及0day漏洞8个(占7%)。上周,Apache Jetspeed以及ISC BIND等广泛应用的WEB、DNS系统软件存在高危漏洞,可对域名解析系统以及大量的Web服务器构成拒绝服务或远程控制安全风险,同时上周也是微软例行的安全补丁周,用户需要及时更新补丁。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1214个,与之前一周(1945个)环比下降38%。

  上周重要漏洞信息

  1、Microsoft产品安全漏洞

  3月8日,微软发布了2016年3月份的月度例行安全公告,共含13项更新,修复了Microsoft Windows、InternetExplorer、Edge、Server、Office、OfficeService、Web Apps、和.NETFramework中存在的44个安全漏洞。其中,5项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。

  CNVD收录的相关漏洞包括:Microsoft Internet Explorer内存破坏漏洞(CNVD-2016-01576、CNVD-2016-01575、CNVD-2016-01590、CNVD-2016-01529、CNVD-2016-01531、CNVD-2016-01537、CNVD-2016-01501)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  2、Apache产品安全漏洞

  Jetspeed是基于Java和XML的开源的企业信息门户的实现。Jetspeed可集成各种数据源,通过XSL技术将数据组织成Jsp页面或Html页面传给客户端;Jetspeed还支持模板和内容的发布框架。上周,上述产品被披露存在目录穿越漏洞和未授权访问漏洞,远程攻击者可利用漏洞通过调用RESTAPI来管理系统用户,并在拥有管理员权限账号的情况下,上传任意文件,进而导致远程命令执行。。

  CNVD收录的相关漏洞包括:Apache Jetspeed目录穿越漏洞、Apache Jetspeed用户管理REST API未授权访问漏洞。上述漏洞的综合评级为“高危”。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  3、ISC产品安全漏洞

  ISC BIND是一套实现了DNS协议的开源软件。上周,上述产品被披露存在拒绝服务漏洞,远程攻击者可利用上述漏洞,可发起拒绝服务攻击,对互联网上广泛应用BIND系统解析软件的域名服务器构成安全运行风险。

  CNVD收录的相关漏洞包括:ISC BIND DNAME解析记录签名校验拒绝服务漏洞、ISC BIND rndc控制实例拒绝服务漏洞、ISC BIND查询包cookie选项拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  4、Google产品安全漏洞

  Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Blink是美国谷歌(Google)公司和挪威欧朋(Opera Software)公司共同开发的一套浏览器排版引擎(渲染引擎)。上周,该产品被披露存在拒绝服务、内存错误引用和安全绕过漏洞,攻击者利用漏洞可绕过安全限制、执行任意代码和发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:Google Chrome Blink拒绝服务漏洞(CNVD-2016-01503)、Google Chrome V8拒绝服务漏洞(CNVD-2016-01508)、Google Chrome内存错误引用漏洞(CNVD-2016-01504)、Google Chrome WebRTC Audio Private API内存错误引用漏洞、Google Chrome安全绕过漏洞(CNVD-2016-01515)、Google Chrome拒绝服务漏洞(CNVD-2016-01509)、Google Chrome Blink内存错误引用漏洞(CNVD-2016-01514、CNVD-2016-01510)等。上述漏洞的综合评级均为“高危”。目前,厂商已发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。5、SAP3D Visual Enterprise Viewern内存错误引用远程代码执行漏洞(CNVD-2016-01564)

  SAP 3D Visual Enterprise Viewer(VEV)是德国思爱普(SAP)公司的一套用于查看、缩放、平移和旋转交互式三维数据以及播放分步动画的软件。上周,SAP 3D Visual Enterprise Viewernr被披露存在内存错误引用远程代码执行漏洞,攻击者可利用漏洞执行任意代码。目前,厂商尚未发布漏洞修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

  CFCA评论:

  小结:上周,微软发布了2016年3月份的月度例行安全公告,共含13项更新,修复了MicrosoftWindows、Internet Explorer、Edge、Server、Office、Office Service、Web Apps、和.NETFramework中存在的44个安全漏洞。其中,5项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。此外,Apache、ISC、Google等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可获得绕过安全限制、执行任意代码、上传任意文件或发起拒绝服务攻击等。此外,SAP 3D Visual Enterprise Viewer(VEV)被披露存在一个内存错误引用远程代码执行漏洞,攻击者可利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。  

分享>

相关推荐

切换至PC版
302 Found

302 Found


Powered by Tengine
tengine