手机银行APP缺乏证书锁定 攻击者可转走百亿存款

中国电子银行网综合

  一周信息安全要闻速览

  京东“白条”暂停多家信用卡支付服务 “金条”业务已上线

  京东金融在客户端发布公告称,5月31日前将暂停除了中信银行和光大银行以外的信用卡支付白条服务。这意味着,除了中信银行和光大银行的信用卡持有人,其余人将不能再通过信用卡支付白条订单。>>详细内容

  央行重拳整改第三方支付机构 违规公司难获续牌

  一般不再受理新机构的设立申请,对于业务许可存续期间未实质开展过支付业务、长期连续停止开展支付业务、客户备付金管理存在较大风险隐患的机构,将不予续展《支付业务许可证》。>>详细内容

  央行:展开全国范围内支付机构账户核查 违规后果自行负责

  如果不补全账户实名信息,7月1日后,支付宝账户将不能再用于收付款,届时用户的快捷支付和网银都无法进行付款。微信方面也表示,没有完成实名验证的用户将使用“余额”进行微信支付、转账、发红包将收到影响。>>详细内容

  中国支付通与海通重庆共营小额信贷业务

  集团向其客户提供多元化的增值及互联网支付服务,主要从事泛亚地区支付、互联网金融及跨境支付业务,并拥有仅六张之一的全国性经营执照,以于中国经营全国预付及互联网支付网络。>>详细内容

  手机银行漏洞:五行代码可转走银行250亿美元存款

  在分析该手机银行应用时,普拉卡什发现里面缺乏证书锁定,随便一个中间人攻击者都可以利用虚假证书降级SSL连接,捕获明文请求。>>详细内容

  信息和技术

  不加密!这家初创公司发明了让黑客一筹莫展的存储设备

  Password Protect就是个凭证存储盒,只不过凭证一旦存进去就谁都取不出来了。当然,新的口令可以继续放入,但老口令却一直保持“不读”状态。通过将修改自动镜像到第二台装置可以实现备份,备份中的口令依然是“不读”的。什么都不用加密也就意味着不用存储、备份和保护密钥。>>详细内容

  安全漏洞周报

  上周漏洞基本情况

  上周信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞278个,其中高危漏洞112个、中危漏洞152个、低危漏洞14个。漏洞平均分值为6.59分。上周收录的漏洞中,涉及0day漏洞20个(占7%)。其中互联网上出现“File Hub任意文件上传漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1185个,与之前一周(1330个)环比下降11%。

  上周重要漏洞信息

  1、Microsoft产品安全漏洞

  5月10日,微软发布了2016年5月份的月度例行安全公告,共含16项更新,修复了Microsoft Windows、InternetExplorer、Edge、Server、Office、OfficeService、Web Apps、和.NETFramework中存在的36个安全漏洞。其中,8项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。

  CNVD收录的相关漏洞包括:Microsoft Office内存破坏漏洞(CNVD-2016-03117、CNVD-2016-03118)、MicrosoftJScript和VBScript脚本引擎内存破坏漏洞(CNVD-2016-03119)、Microsoft Chakra JavaScript脚本引擎内存破坏漏洞(CNVD-2016-03020、CNVD-2016-03021、CNVD-2016-03120)、MicrosoftWindows win32k权限提升漏洞(CNVD-2016-03100、CNVD-2016-03103)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  2、Adobe产品安全漏洞

  Adobe Acrobat DC等都是美国奥多比(Adobe)公司的产品。Acrobat DC是一套桌面版PDF解决方案;AcrobatReader DC是一套用于查看、打印和批注PDF的工具。Classic和Continuous是AcrobatDC和Acrobat Reader DC产品下载中心所提供的两种更新机制。 上周,上述产品被披露存在任意命令执行、内存错误引用和内存破坏漏洞,攻击者可利用漏洞执行任意代码,控制受影响系统。

  CNVD收录的相关漏洞包括:多款Adobe产品内存破坏漏洞(CNVD-2016-03068、CNVD-2016-03069、CNVD-2016-03070、CNVD-2016-03071、CNVD-2016-03072、CNVD-2016-03073、CNVD-2016-03074、CNVD-2016-03075)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  3、Google产品安全漏洞

  Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。 上周,上述产品被披露存在权限提升、任意代码执行、信息泄露和拒绝服务漏洞,攻击者可利用上述漏洞提升权限、执行任意代码、泄露敏感信息和发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:Android NVIDIA Video Driver权限提升漏洞(CNVD-2016-02826、CNVD-2016-02827、CNVD-2016-02828、CNVD-2016-02829)、AndroidMediaserver提权漏洞(CNVD-2016-02845、CNVD-2016-02846、CNVD-2016-02847、CNVD-2016-02848)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  4、PHP产品安全漏洞

  PHP是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言, PHP File Manager是一套使用PHP脚本管理Web站点的应用程序。上周,上述产品被披露存在认证绕过、信息泄露和整数溢出漏洞,允许攻击者利用漏洞绕过密码访问、泄露敏感信息和发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:PHP 'exif_read_data()'函数信息泄露漏洞(CNVD-2016-02881、CNVD-2016-02882、CNVD-2016-02883)、PHP信息泄露漏洞(CNVD-2016-02884、CNVD-2016-02886)、PHP存在未明漏洞(CNVD-2016-02887、CNVD-2016-02888CNVD-2016-02885)等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  5、ASUSwireless routers设计漏洞

  wireless routers是ASUS的路由器产品。上周,ASUS被披露存在设计漏洞,允许攻击者利用漏洞够获得管理员session。目前,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

  CFCA评论

  小结:5月10日,微软发布了2016年5月份的月度例行安全公告,共含16项更新,修复了Microsoft Windows、Internet Explorer、Edge、Server、Office、Office Service、Web Apps、和.NET Framework中存在的36个安全漏洞。其中,8项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码;此外,Adobe、Google、PHP等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可提升权限、泄露敏感信息和发起拒绝服务攻击等。另外,ASUS被披露存在一个高危漏洞,允许攻击者利用漏洞获得管理员session。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。  

责任编辑:程栋