取消
普通评论
普通评论

信息安全周报|APP个人信息安全认证制度或建立 SSL大事件回顾

韩希宇中国电子银行网2019-01-31 10:27
信息安全周报漏洞
信息安全 收藏

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞177个,互联网上出现“D-LinkDIR-818LW Rev.A和DIR-860L Rev.B操作系统命令注入漏洞、Webmin远程命令执行漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  APP收集信息应有认证标准

  今年1月份至12月份在全国范围内针对消费者集中反映的APP强制授权、过度授权、超范围收集个人信息等突出问题,组织开展APP违法违规收集使用个人信息专项治理。>>详细

  回顾│2018年,这些SSL大事件,你应该知道!

  中国金融认证中心(CFCA)作为CA/B论坛的重要成员,在2018年成功举办第45次论坛会议,CFCA全球信任服务器证书,支持TLS1.2/TLS1.3调用,并积极探索SM2/SM3等中国商用密码算法的应用推广。>>详细

  AI都能伪造指纹了 生物识别还安全吗?

  人工智能技术还能够利用人眼和计算机认知方式的不同,在指纹图像中嵌入某些隐藏属性,虽然肉眼看不出来,但计算机可抓取这些信息,达到利用伪造指纹图像进行身份识别的目的。>>详细

  支付清算协会发布条码支付受理终端和客户端检测规范,2月1日正式实施!

  为落实中国人民银行和中国国家认证认可监督管理委员会关于支付技术产品认证工作的要求,加强支付技术产品检测认证工作的自律管理,中国支付清算协会安全与技术标准专业委员会起草了《条码支付受理终端检测规范》和《条码支付移动客户端软件检测规范》。>>详细

  赛门铁克发布2019年及未来网络安全趋势预测

  近年来,人们期待已久的人工智能技术商用逐渐成为现实,并在许多商业领域中得到应用。尽管AI系统能够自动执行任务,帮助增强决策能力,但由于系统中存储大量数据,因为成为了潜在攻击目标。>>详细

  苹果回应FaceTime电话窃听漏洞:本周晚些时候解决

  这个漏洞造成了一个相当大的隐私问题,因为人们基本上可以通过这一途径监听任何iOS用户,尽管它看起来很正常,但是接收方那里并没有任何迹象表明,打FaceTime的人能听到他们的声音。>>详细

  勒索病毒任性漫天要价:三日内1个比特币

  勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密。>>详细

  美国法院力挺生物识别隐私法 科技公司收集指纹/面部数据受限

  伊利诺伊州最高法院日前驳回了一起诉讼,该案本来会削弱限制科技公司使用面部识别和其他生物识别技术的法律。此举被视为美国隐私倡导者赢得的一场关键法庭胜利。>>详细

  技术观澜

  影响62亿台设备:解读我是如何发现Marvell Avastar Wi-Fi远程代码执行漏洞的

  Wi-Fi的加密狗可以分为两大类:FullMAC和SoftMAC。二者都需要固件映像,在每次设备启动时都应该上传。设备制造商会提供适当的固件映像和操作系统设备驱动程序,所以在启动期间,驱动程序可以上载固件,从而使其主要功能可以被Wi-Fi SoC使用。>>详细

  俄语垃圾邮件推送Redaman银行恶意软件

  Redaman于2015年首次被发现,它是针对使用俄罗斯金融机构进行交易的客户的恶意软件。最初它被报告为RTM银行木马,2017年Symantec和Microsoft等厂商将该恶意软件的更新版本描述为Redaman。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2019年01月21日-2019年01月27日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞177个,其中高危漏洞65个、中危漏洞94个、低危漏洞18个。漏洞平均分值为6.01。上周收录的漏洞中,涉及0day漏洞46个(占26%),其中互联网上出现“D-LinkDIR-818LW Rev.A和DIR-860L Rev.B操作系统命令注入漏洞、Webmin远程命令执行漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Microsoft产品安全漏洞

  Microsoft Windows 7 SP1是一套个人电脑使用的操作系统。Microsoft Windows 10是一套供个人电脑使用的操作系统.Windows Server 2016是一套服务器操作系统。Windows Server 2008 SP2是一套服务器操作系统。Microsoft Windows Server 2012 R2等都是美国微软(Microsoft)公司发布的一系列服务器操作系统。Microsoft Project是一套适用于项目组合管理(PPM)和日常工作的项目管理解决方案。

  该方案支持为任务分配资源、进度跟踪和预算管理等。Microsoft Internet Explorer(IE)是一款Web浏览器。Office 2010 SP2是一套办公套件。Microsoft MSHTML engine是其中的一个用于解析HTML语言的引擎。Microsoft Excel是微软公司的办公软件Microsoft office的组件之一,是由Microsoft为Windows和Apple Macintosh操作系统的电脑而编写和运行的一款试算表软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。

  CNVD收录的相关漏洞包括:Microsoft DirectX权限提升漏洞(CNVD-2019-02495)、Microsoft Windows跨站脚本漏洞(CNVD-2019-02770)、Microsoft Graphics远程代码执行漏洞、Microsoft Windows权限提升漏洞(CNVD-2019-02775)、Microsoft Project远程代码执行漏洞、Microsoft MSHTML引擎输入验证漏洞、Microsoft Excel远程代码执行漏洞(CNVD-2019-02780、CNVD-2019-02784)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Cisco产品安全漏洞

  Cisco Small Business RV320和RV325都是美国思科(Cisco)公司的企业级路由器。CiscoSD-WAN Solution是运行在思科系统上的一套网络扩展解决方案。Cisco Webex Business Suite WBS32 sites等都是美国思科(Cisco)公司的视频会议解决方案。Cisco Webex Network Recording Player和WebexPlayer都是其中的用于播放视频会议记录的播放器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码。CNVD收录的相关漏洞包括:Cisco Small Business RV320和RV325命令注入漏洞、Cisco Small Business RV320和RV325信息泄露漏洞、Cisco SD-WAN Solution缓冲区溢出漏洞、Cisco Webex Network Recording Player和Webex Player for Windows缓冲区溢出漏洞(CNVD-2019-02786、CNVD-2019-02787、CNVD-2019-02788、CNVD-2019-02789、CNVD-2019-02790)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统;iCloud for Windows是一款基于Windows平台的云服务。macOS Mojave是一套为Mac计算机所开发的专用操作系统。ApplemacOS High Sierra是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过沙盒限制,注入任意的Web脚本或HTML,提升权限,执行任意代码(内存破坏)。

  CNVD收录的相关漏洞包括:多款Apple产品内存破坏漏洞(CNVD-2019-02753)、多款Apple产品沙盒绕过漏洞、多款Apple产品跨站脚本漏洞(CNVD-2019-02756)、多款Apple产品沙盒绕过漏洞(CNVD-2019-02757)、多款Apple产品越界读取漏洞(CNVD-2019-02758、CNVD-2019-02759、CNVD-2019-02760、CNVD-2019-02761)。其中,除“多款Apple产品跨站脚本漏洞(CNVD-2019-02756)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Red Hat品安全漏洞

  Red Hat 389 Directory Server(前称Fedora Directory Server)是一款企业级的Linux目录服务器。Red Hat Gluster是一套开源的分布式文件系统。Red Hat Gluster Storage是一个用于软件的横向扩展存储软件包,它能够提供非结构化的数据存储方式。Red Hat Ceph Storage是一套可扩展的、开放性的软件定义存储平台。Red Hat PolicyKit(又名Polkit)是一个用于在Unix兼容系统中对应用程序进行权限控制的工具。Red Hat Ceph是一套Linux PB级分布式文件系统。Red Hat Virtualization是推出的一套针对服务器和桌面的虚拟化管理解决方案(企业虚拟化平台),它可提供实时迁移、负载平衡等功能。Red Hat VirtualizationHost是一款虚拟主机。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过保护机制,执行未授权操作,执行任意命令,发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:Red Hat 389 DirectoryServer拒绝服务漏洞(CNVD-2019-02473)、Red Hat Gluster未授权操作漏洞、RedHat Gluster Storageglusterfs server拒绝服务漏洞、Red Hat Ceph Storage ceph-isci-cli包远程命令注入漏洞、Red Hat PolicyKit未授权访问漏洞、Red Hat Ceph未授权访问漏洞、Red Hat Ceph拒绝服务漏洞(CNVD-2019-02480)、Red Hat Virtualization和Virtualization Host拒绝服务漏洞。其中,“Red Hat 389 Directory Server拒绝服务漏洞(CNVD-2019-02473)、Red Hat Gluster未授权操作漏洞、Red Hat Ceph Storage ceph-isci-cli包远程命令注入漏洞”的综合评级为“高危”。目前,除“Red Hat 389 DirectoryServer拒绝服务漏洞(CNVD-2019-02473)”外,厂商已经发布了其余漏洞的修补程序。

  Apache HTTP Server拒绝服务漏洞

  Apache HTTP Server是美国阿帕奇(Apache)软件基金会的一款开源网页服务器。上周,Apache HTTP Server被披露存在拒绝服务。攻击者可利用该漏洞造成拒绝服务。

  小结

  上周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。此外,Cisco、Apple、RedHat等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过沙盒限制,执行未授权操作,注入任意的Web脚本或HTML,提升权限,执行任意代码(内存破坏),发起拒绝服务攻击等。另外,Apache HTTP Server被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、证券日报、经济日报、腾讯科技、科技日报、TechWeb、移动支付网、中关村在线、嘶吼RoarTalk报道

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐