取消
普通评论
普通评论

践行金融标准化 共建网络可信良好生态

韩希宇中国电子银行网2018-12-21 10:56
信息安全漏洞
信息安全 收藏

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞198个,互联网上出现“Mantis'manage_proj_page.php' PHP 代码注入漏洞、Tarantella Enterprise路径遍历漏洞”等代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  践行金融标准化 构筑支付安全防火墙

  人民银行发布的《2018年第三季度支付体系运行总体情况》显示,第三季度,银行业金融机构共处理电子支付业务452.36亿笔,金额592.43万亿元。其中,网上支付业务148.93亿笔,金额495.24万亿元,同比分别增长23.21%和12.58%。>>详细

  共建网络可信良好生态 CFCA建言献策

  PKI技术主要是解决两个问题,一是安全问题,一是法律问题,前者是技术层面的,后者突出的是PKI的法律属性。从银行、基金、证券、信托、保险、招投标、电子政务等较为传统的场景到如今业内热议的区块链、物联网这些新场景,均会涉及PKI技术的应用。>>详细

  征信公司“得数据者得天下” 行业监管难以覆盖

  我国法律还没有明确规定哪些是个人数据、哪些数据能够传输、数据应该脱敏到哪一步以及信息流转的界限等,这些细则不规范,个人信息的流通和数据的使用就会陷入模棱两可的阶段。>>详细

  隐私安全逆风:原来我的隐私信息被扒得一干二净

  我的隐私数据都在被谁使用?这个问题如果是在2018年以前问,或许可能很多人都一笑了之。很多人在使用APP之前遇到的“隐私政策”弹窗,往往都是看都不看一眼,就点击了同意。>>详细

  年度最差密码:123456连续五年第一 特朗普名字上榜

  “年度最差密码排行榜(也称年度最流行密码)”是他们每年都会总结的一个榜单。与前几年一样,2018年也发生了许多备受瞩目的数据泄露事件,但许多人仍在继续为自己账户使用容易猜测的密码。>>详细

  利用“手机号+验证码”盗刷 被广州增城警方一举抓获

  该团伙中主要负责制作伪基站设备的嫌疑人俞某,是一名医院检验科医生,从小痴迷于无线电,经常浏览关于无线电、电脑技术的论坛,在看到网上有人讨论相关话题和设备,并且有市场需求,俞某便自己钻研制作,再后在网上进行销售。>>详细

  思科宣布以6.6亿美元收购光学芯片制造商Luxtera

  Luxtera开发了硅光子技术,这种技术将编码成光子信息转换成光纤直接传输到半导体中,极大地加快了数据传输速度。思科表示,Luxtera先进的芯片技术,将帮助思科满足商业客户对快速和高性能网络服务的需求。>>详细

  外媒:富士康未与高通就专利诉讼进行和解谈判

  一直以来,苹果都在使用高通的Modem芯片,以确保iPhone手机能够连接无线数据网络。但去年年初,苹果将高通告上法庭,指控高通收取过高的芯片专利使用费,并拒绝归还承诺退回的10亿美元专利使用费。>>详细

  技术观澜

  关于代码审查 那些你不曾关注的细节

  在工作中,我们都要进行代码审查。每个人都知道代码审查,每个人都会做代码审查(至少我希望你会做)。但如果花点时间讨论一下,你就会发现在“良好的代码审查应该做些什么”这个问题上,可谓仁者见仁智者见智。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年12月10日-2018年12月16日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞198个,其中高危漏洞71个、中危漏洞108个、低危漏洞19个。漏洞平均分值为5.99。上周收录的漏洞中,涉及0day漏洞29个(占15%),其中互联网上出现“Mantis'manage_proj_page.php' PHP代码注入漏洞、Tarantella Enterprise路径遍历漏洞”等代码攻击漏洞。

  上周重要漏洞安全告警

  Foxit产品安全漏洞

  Foxit Reader for Windows是一款基于Windows平台的PDF文档阅读器。Foxit PhantomPDF for Windows是它的商业版。上周,上述产品被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。

  CNVD收录的相关漏洞包括:Foxit Reader 和Foxit PhantomPDF for Windows内存错误引用漏洞(CNVD-2018-25189、CNVD-2018-25190、CNVD-2018-25192、CNVD-2018-25193、CNVD-2018-25194、CNVD-2018-25195、CNVD-2018-25196、CNVD-2018-25197)。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  IBM产品安全漏洞

  IBM QRadar Advisor with Watson是一套安全威胁分析解决方案。IBM QRadar Incident Forensics是一套安全取证调查软件。IBM DataPower Gateway是一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台,它可利用专用网关平台跨渠道保护、集成和优化访问。IBM SDK是一套用于创建、发现、调用和测试Web服务的集成工具包。IBM Campaign(前称Unica Campaign)是一套用于帮助营销人员设计、执行、衡量和优化营销广告的管理解决方案。IBM Security AccessManager是一款应用于信息安全管理的产品。IBM BigFix Platform是一套动态的集成了消息内容驱动和管理系统的多技术平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:IBM QRadar Advisor with Watson信息泄露漏洞、IBM QRadar IncidentForensics信息泄露漏洞(CNVD-2018-25037)、IBM DataPower Gateway拒绝服务漏洞、IBM SDK java.math组件拒绝服务漏洞、IBM Campaign 权限访问控制漏洞、IBM Security Access Manager信息泄露漏洞(CNVD-2018-25399、CNVD-2018-25404)、IBM BigFix Platform信息泄露漏洞(CNVD-2018-25405)。其中,“IBMCampaign权限访问控制漏洞”的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Siemens产品安全漏洞

  SiemensSINUMERIK 808D等都是数控机床系统控制器。Siemens TIM 1531 IRC是一款通信模块。Siemens EN100 EthernetCommunication Module是一款以太网模块产品。SIPROTEC 5 relays是一款继电器。Siemens SIMATIC S7-400是一款用于制造和过程自动化领域的可编程逻辑控制器产品。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞进行越界读取,任意写入,执行代码,造成拒绝服务,影响系统的保密性、可用性和完整性。

  CNVD收录的相关漏洞包括:多款Siemens产品整数溢出漏洞、多款Siemens产品缓冲区溢出漏洞、多款Siemens产品本地访问权限漏洞、多款Siemens产品远程代码执行漏洞、Siemens TIM 1531 IRC身份验证漏洞、Siemens EN100 Ethernet Communication Module和SIPROTEC 5 relays拒绝服务漏洞、Siemens EN100 EthernetCommunication Module拒绝服务漏洞、Siemens SIMATIC S7-400输入验证漏洞。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Google产品安全漏洞

  Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Google Kubernetes是一套开源的Docker 容器集群管理系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过权限策略,执行任意代码。

  CNVD收录的相关漏洞包括:Google Chrome权限绕过漏洞、Google Android缓冲区溢出漏洞(CNVD-2018-25279)、Google Chrome DevTools代码执行漏洞、Google Chrome Skia任意代码执行漏洞、Google Chrome ServiceWorker信息泄露漏洞、Google Chrome WebAssembly内存错误引用漏洞、Google Kubernetes权限访问控制漏洞、Google Chrome PDFium内存错误引用漏洞(CNVD-2018-25308)。其中,除“Google Chrome ServiceWorker信息泄露漏洞”外,其余漏洞的综合评级为为“高危”。

  Anker Nebula Capsule Pro拒绝服务漏洞

  Anker Nebula Capsule Pro是一款投影仪设备。上周,Anker Nebula Capsule Pro被披露存在拒绝服务漏洞。攻击者可借助特制的应用程序向WifiService发送数据利用该漏洞造成拒绝服务(底层Android 7.1.2操作系统重启)。

  小结

  上周,Foxit被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。此外,IBM、Siemens、Google等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过权限策略,提升权限,执行任意代码,发起拒绝服务攻击等。另外,Anker Nebula Capsule Pro被披露存在拒绝服务漏洞。攻击者可借助特制的应用程序向WifiService发送数据利用该漏洞造成拒绝服务(底层Android 7.1.2操作系统重启)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、中国金融新闻网、新浪科技、腾讯科技、法治周末、CSDN、金羊网报道

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐