取消
普通评论
普通评论

IIC用三大维度定义新型物联网安全

韩希宇中国电子银行网2018-04-18 10:01
物联网 安全 信息安全 收藏

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞316个,互联网上出现“Tenda AC15 Router远程代码执行漏洞、WordPress Ajax Pagination(twitter Style)插件路径遍历漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  工业互联网联盟(IIC)发布新型物联网安全成熟度模型(SMM)

IIC用三大维度定义新型物联网安全

  治理涵盖战略、实践和流程的运作和管理,如威胁建模和风险评估以及供应链管理。支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。>>详细

  泰国最大的4G移动运营商TrueMove H遭遇数据泄露

IIC用三大维度定义新型物联网安全

  运营商向在线客户公开存储在亚马逊AWS S3存储桶中的个人数据。泄露的数据还包括身份证件的扫描,数据一直保留至4月12日,当时该公司限制访问。>>详细

  重磅!刚刚!美国禁止中兴进口芯片!

IIC用三大维度定义新型物联网安全

  美国商务部称,中兴公司因未彻底执行一项处罚条款,将被禁止在7年内从美国进口通讯设备元件!>>详细

  技术观澜

  暴风等知名软件广告页遭“挂马攻击”十多万用户被病毒感染

IIC用三大维度定义新型物联网安全

  火绒安全团队发出安全警报,国内多家知名软件、网站的广告页面遭到病毒团伙的“挂马攻击”。用户访问该页面,即会触发浏览器漏洞,导致病毒代码被自动激活。>>详细

  一文看懂集成电路芯片的成本计算

IIC用三大维度定义新型物联网安全

  大规模集成电路芯片,比如SOC,由多核CPU和GPU组成,用于智能手机主芯片、车载多媒体和导航系统,或者特定用途的集成电路芯片ASIC,用于电子控制模块的信号处理,算法运行和控制执行部件。>>详细

  CVE申请的那些事

IIC用三大维度定义新型物联网安全

  对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年04月09日-2018年04月15日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞316个,其中高危漏洞113个、中危漏洞188个、低危漏洞15个。漏洞平均分值为5.96。上周收录的漏洞中,涉及0day漏洞80个(占25%),其中互联网上出现“Tenda AC15 Router远程代码执行漏洞、WordPress Ajax Pagination(twitter Style)插件路径遍历漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Microsoft产品安全漏洞

  Microsoft Windows 10和Windows Server2016等都是美国微软(Microsoft)公司的一系列操作系统。MicrosoftWindows Installer是一款Windows应用程序的安装和配置服务。MicrosoftMalware Protection Engine是恶意程序保护引擎。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限或执行任意代码。

  CNVD收录的相关漏洞包括:MicrosoftDesktopBridge VFS权限提升漏洞、Microsoft Edge scripting引擎内存破坏漏洞(CNVD-2018-07281)、MicrosoftInternet Explorer内存破坏漏洞(CNVD-2018-07279、CNVD-2018-07326)、MicrosoftMalware Protection Engine远程代码执行漏洞(CNVD-2018-07296)、MicrosoftWindows GDI权限提升漏洞(CNVD-2018-07324、CNVD-2018-07325)、MicrosoftWindows Installer权限提升漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。iCloud forWindows是一款基于Windows平台的云服务。WebKit是其中的一个Web浏览器引擎组件。上周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:多款Apple产品WebKit内存破坏漏洞(CNVD-2018-07632、CNVD-2018-07633、CNVD-2018-07634、CNVD-2018-07635、CNVD-2018-07643、CNVD-2018-07644、CNVD-2018-07645、CNVD-2018-07646)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Google产品安全漏洞

  Android是美国谷歌公司和开放手持设备联盟共同开发的一套以Linux为基础的开源操作系统。Google Chrome是一款Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏提升权限或执行任意代码等。

  CNVD收录的相关漏洞包括:Google AndroidSystem权限提升漏洞(CNVD-2018-07447、CNVD-2018-07448、CNVD-2018-07452)、Google AndroidSystem远程代码执行漏洞(CNVD-2018-07446、CNVD-2018-07449、CNVD-2018-07453、CNVD-2018-07666)、Google Chromeinterstitials命令执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Cisco产品安全漏洞

  Cisco IOS Software和IOS XESoftware都是美国思科(Cisco)公司为其网络设备开发的操作系统。上周,该产品被披露存在拒绝服务和越权访问漏洞,攻击者可利用漏洞发起拒绝服务攻击或以特权登录设备。

  CNVD收录的相关漏洞包括:Cisco IOSSoftware和IOS XE Software拒绝服务漏洞、Cisco IOS Software和IOS XESoftware拒绝服务漏洞(CNVD-2018-07300、CNVD-2018-07302、CNVD-2018-07314)、Cisco IOS XESoftware拒绝服务漏洞(CNVD-2018-07303、CNVD-2018-07304、CNVD-2018-07318)、Cisco IOS XESoftware越权访问漏洞。除“Cisco IOS Software和IOS XE Software拒绝服务漏洞(CNVD-2018-07314)、Cisco IOS XESoftware拒绝服务漏洞(CNVD-2018-07303)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  WordPress twitter Style)插件路径遍历漏洞

  WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,WordPress被披露存在路径遍历漏洞,远程攻击者可借助‘loop’参数中的‘..’序列利用该漏洞读取任意文件。目前,厂商尚未发布漏洞修补程序。

  小结

  上周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞提升权限或执行任意代码。此外,Google、Apple、Cisco等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击等。另外,WordPress被披露存在路径遍历漏洞,远程攻击者可借助‘loop’参数中的‘..’序列利用该漏洞读取任意文件。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CSDN、HackerNews.cc、FreebuF.COM、芯论、看雪学院、嘶吼RoarTalk报道

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐