取消
普通评论
普通评论

牺牲用户隐私换得产品体验 数据滥用已成行业通病

韩希宇中国电子银行网2018-07-13 10:36
隐私 数据 漏洞 信息安全 收藏

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞179个,互联网上出现“WordPressProduct Enquiry for WooCommerce插件跨站脚本漏洞、Microsoft Windows EMET XML外部实体注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  大众点评被指泄露用户隐私 住酒店被微信好友获知

牺牲用户隐私换得产品体验 数据滥用已成行业通病

  根据2016年颁布的《移动互联网应用程序信息服务管理规定》,APP运营者收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。>>详细

  迅雷发布了自主研发的TCFS协议

牺牲用户隐私换得产品体验 数据滥用已成行业通病

  TCFS有完善的文件权益保护和授予机制。它通过公私钥签名技术验证用户和文件的持有关系,并运用独创的令牌授权机制,仅允许有授权的用户访问数据。>>详细

  美国众议院致函苹果谷歌:就隐私和数据问题提出质疑

牺牲用户隐私换得产品体验 数据滥用已成行业通病

  智能手机在某些情况下会收集非触发式音频数据,以便听到“Okay Google”或“Hey Siri”等触发短语。并且第三方应用也可以获取这些信息,并在用户不知情的情况下使用这种“非触发”数据。>>详细

  技术观澜

  边信道攻击新方法:利用体温盗取口令

牺牲用户隐私换得产品体验 数据滥用已成行业通病

  实验中研究人员招募了30位普通用户来根据红外热成像扫描图猜测口令。如果输入口令的是“一指禅”用户,通过观察红外热成像扫描,被测人员能在首字符输入后的19.5-31秒内猜出口令。>>详细

  Go代码重构:23倍性能提升!

牺牲用户隐私换得产品体验 数据滥用已成行业通病

  要说写代码是每位程序员的使命,那么写优秀的代码则是每位程序员的底线。本文作者分享基于Go语言的代码重构,使得性能提升23倍的快速方法。>>详细

  流行的9个Java框架介绍:优点、缺点等等

牺牲用户隐私换得产品体验 数据滥用已成行业通病

  虽然Java不是最直接的语言,但是您不需要从头编写Java程序。有许多优秀的Java框架可以编写在Java虚拟机上运行的web和移动应用程序、微服务和REST api。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年07月02日-2018年07月09日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞179个,其中高危漏洞55个、中危漏洞108个、低危漏洞16个。漏洞平均分值为5.82。上周收录的漏洞中,涉及0day漏洞34个(占19%),其中互联网上出现“WordPressProduct Enquiry for WooCommerce插件跨站脚本漏洞、Microsoft Windows EMET XML外部实体注入漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Google产品安全漏洞

  Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。

  CNVD收录的相关漏洞包括:Google AndroidKernel组件权限提升漏洞(CNVD-2018-12652)、Google Android NVIDIA组件权限提升漏洞(CNVD-2018-12654、CNVD-2018-12655)、Google AndroidQualcomm组件权限提升漏洞(CNVD-2018-12656、CNVD-2018-12659、CNVD-2018-12660、CNVD-2018-12661、CNVD-2018-12663)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  IBM产品安全漏洞

  IBM Rational Quality Manager是基于Web的合作性质量管理解决方案。IBM RationalCollaborativeLifecycle Management是应用生命周期管理解决方案。上周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞允许用户在Web UI中嵌入任意JavaScript代码,导致泄露受信任会话内的凭证。

  CNVD收录的相关漏洞包括:IBM RQM/RCLM跨站脚本漏洞(CNVD-2018-12619、CNVD-2018-12620、CNVD-2018-12622、CNVD-2018-12621、CNVD-2018-12623、CNVD-2018-12624、CNVD-2018-12626、CNVD-2018-12627)。目前,厂商已经发布了上述漏洞的修补程序。

  Microsoft产品安全漏洞

  Microsoft Windows 10是一套个人电脑使用的操作系统。Windows Server2016、Windows Server Version 1709和Windows Server Version1803都是服务器操作系统。Microsoft Office 2010 SP2等都是办公软件套件产品。Excel是Office套件中的一款电子表格处理软件。MicrosoftOffice Online Server 2016是一套基于Web的办公软件套件。Office WebApps Server 2013 SP1是一款为Office文件提供基于浏览器的文件查看和编辑功能的Office Server产品。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码或发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:MicrosoftWindows 'HTTP.sys'远程代码执行漏洞、Microsoft Windows DNSAPI远程代码执行漏洞(CNVD-2018-12562)、MicrosoftWindows Hyper-V Code Integrity权限提升漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2018-12566)、MicrosoftWindows 'HTTP.sys'拒绝服务漏洞(CNVD-2018-12567)、MicrosoftWindows WebDAV拒绝服务漏洞、Microsoft Windows Media Foundation内存破坏漏洞、MicrosoftOffice权限提升漏洞(CNVD-2018-12577)。其中,除“MicrosoftWindows 'HTTP.sys'拒绝服务漏洞(CNVD-2018-12567)、MicrosoftWindows WebDAV拒绝服务漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apache产品安全漏洞

  Apache PDFBox是一个开源的、基于Java并提供创建新的PDF文档、修改现有的PDF文档等功能的工具库。ApacheZookeeper是一个软件项目。Apache Tomcat是一款轻量级Web应用服务器。Apache Qpid是一款面向对象的消息中间件,它是一个AMQP(高级消息队列协议)的实现,可以和符合AMQP协议的系统进行通信,并提供了C++、Python、Java、C#等编程语言的客户端库。Apache MXNet是一套可扩展的深度学习框架。Apache HBase是一套构建在Apache Hadoop和ApacheZooKeeper上的面向列的分布式数据库。Apache CXF是一个开源服务框架。ApacheCassandra是一套开源分布式NoSQL数据库系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全功能限制,获取敏感信息,执行远程代码或发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:ApachePDFBox's AFMParser拒绝服务漏洞、Apache ZooKeeper安全绕过漏洞、Apache TomcatCORS Filter安全绕过漏洞、Apache Qpid Broker-J拒绝服务漏洞(CNVD-2018-12673)、Apache MXNet信息泄露漏漏洞、Apache HBase安全限制绕过漏洞、Apache CXF拒绝服务漏洞(CNVD-2018-12677)、ApacheCassandra任意Java代码执行漏洞。其中,“Apache Tomcat CORS Filter安全绕过漏洞、Apache Cassandra任意Java代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Electro Industries GaugeTech Nexus设备信息泄露漏洞

  Electro IndustriesGaugeTech Nexus devices是一款具有高级通讯功能的公共事业计费设备。上周,Electro IndustriesGaugeTech Nexus devices被披露存在信息泄露漏洞,远程攻击者可通过对meter_information.htm、diag_system.htm或diag_dnp_lan_wan.htmURI发送直接请求利用该漏洞获取敏感信息。目前,厂商尚未发布漏洞修补程序。

  小结

  上周,Google被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。此外,IBM、Microsoft、Apache等多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全功能限制,获取敏感信息,执行远程代码或发起拒绝服务攻击等。另外,Electro IndustriesGaugeTech Nexus devices被披露存在信息泄露漏洞,远程攻击者可通过对meter_information.htm、diag_system.htm或diag_dnp_lan_wan.htm URI发送直接请求利用该漏洞获取敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、中国经济网、新浪科技、51CTO、CSDN、安全牛报道 

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐