中國(guó)電子銀行網(wǎng)訊 國(guó)家信息安全漏洞共享平臺(tái)上周共收集、整理信息安全漏洞287個(gè),互聯(lián)網(wǎng)上出現(xiàn)“Apple iOS遠(yuǎn)程內(nèi)存破壞漏洞、NodCMS
PHP代碼執(zhí)行漏洞”零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。中國(guó)電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞,并特約中國(guó)金融認(rèn)證中心(CFCA)信息安全專家對(duì)漏洞風(fēng)險(xiǎn)作出點(diǎn)評(píng)和建議。
一周信息安全要聞速覽
Mirai新攻擊 導(dǎo)致非洲一國(guó)全斷網(wǎng)
此次DDoS攻擊的威力依然不容小覷,攻擊流量達(dá)到了1.1Tbps,攻擊導(dǎo)致利比里亞全國(guó)的網(wǎng)站都無法正常訪問。當(dāng)然,對(duì)于一個(gè)不發(fā)達(dá)的非洲國(guó)家來說,利比里亞在互聯(lián)網(wǎng)的普及程度上并不高,全國(guó)大約僅有6%的地區(qū)有網(wǎng)絡(luò)。>>詳細(xì)
Gmail認(rèn)證出現(xiàn)漏洞 任何人可劫持任意郵件賬戶
攻擊者通過給谷歌發(fā)信來驗(yàn)證某郵件地址所有權(quán)狀態(tài)。谷歌向該地址發(fā)送郵件進(jìn)行確認(rèn)。該郵件地址無法收取驗(yàn)證郵件,于是,谷歌的郵件被發(fā)回給實(shí)際發(fā)件人,而這次,里面帶上了驗(yàn)證碼。該驗(yàn)證碼將被黑客利用,郵件地址的所有權(quán)被確認(rèn)。>>詳細(xì)
第三方支付將納入“反洗錢”責(zé)任主體范圍 5萬元納入報(bào)告
新版《辦法》修訂稿顯示,大額交易報(bào)告的標(biāo)準(zhǔn)出現(xiàn)較大調(diào)整,要求對(duì)當(dāng)日單筆或者累積交易人民幣5萬元以上的交易進(jìn)行報(bào)告,而目前這一項(xiàng)的標(biāo)準(zhǔn)是20萬元,這表明報(bào)告的起點(diǎn)比之前大大降低。>>詳細(xì)
樂購(gòu)面臨19億英鎊罰款:數(shù)據(jù)泄露不再是兒戲
周末開始接到客戶報(bào)告賬戶不符后,樂購(gòu)銀行暫停了所有網(wǎng)上交易。銀行承諾賠付客戶因安全事件而損失的錢款,但資金到位還需要一定時(shí)間。樂購(gòu)銀行CEO本尼·希金斯承認(rèn):“樂購(gòu)銀行證實(shí),周末部分客戶的現(xiàn)金賬戶遭到了網(wǎng)上犯罪活動(dòng)的攻擊,某些攻擊造成了賬戶被非法支齲”
>>詳細(xì)
國(guó)務(wù)院發(fā)文:支持移動(dòng)支付發(fā)展
支持企業(yè)運(yùn)用大數(shù)據(jù)技術(shù)分析顧客消費(fèi)行為,開展精準(zhǔn)服務(wù)和定制服務(wù),靈活運(yùn)用網(wǎng)絡(luò)平臺(tái)、移動(dòng)終端、社交媒體與顧客互動(dòng),建立及時(shí)、高效的消費(fèi)需求反歷制,做精做深體驗(yàn)消費(fèi)。支持企業(yè)開展服務(wù)設(shè)施人性化、智能化改造,鼓勵(lì)社會(huì)資本參與無線網(wǎng)絡(luò)、移動(dòng)支付、自助服務(wù)、停車場(chǎng)等配套設(shè)施建設(shè)。>>詳細(xì)
騰訊云發(fā)力海外抗D市場(chǎng) 與Radware達(dá)成戰(zhàn)略合作
Radware的緩解解決方案支持所有常見的SSL/TLS,無需用戶交出證書秘鑰,利用行為分析技術(shù)識(shí)別可疑流量,將可疑流量導(dǎo)入旁路部署的設(shè)備中進(jìn)行解密,通過詢問應(yīng)答機(jī)制識(shí)別攻擊并緩解。>>詳細(xì)
安全漏洞周報(bào)
本周漏洞基本情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)本周共收集、整理信息安全漏洞287個(gè),其中高危漏洞146個(gè)、中危漏洞132個(gè)、低危漏洞9個(gè)。漏洞平均分值為6.82。本周收錄的漏洞中,涉及0day漏洞129個(gè)(占45%)。其中互聯(lián)網(wǎng)上出現(xiàn)“Apple
iOS遠(yuǎn)程內(nèi)存破壞漏洞、NodCMS
PHP代碼執(zhí)行漏洞”零日代碼攻擊漏洞,請(qǐng)使用相關(guān)產(chǎn)品的用戶注意加強(qiáng)防范。此外,本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)835個(gè),與上周(1000個(gè))環(huán)比增長(zhǎng)17%。
本周重要漏洞信息
1、Microsoft產(chǎn)品安全漏洞
11月8日,微軟發(fā)布了2016年11月份的月度例行安全公告,共含14項(xiàng)更新,修復(fù)了MicrosoftWindows、InternetExplorer、Edge、Office、Office
Services、SQL Server和
WebApps中存在的67個(gè)安全漏洞。其中,5項(xiàng)遠(yuǎn)程代碼更新的綜合評(píng)級(jí)為最高級(jí)“嚴(yán)重”級(jí)別。利用上述漏洞,攻擊者可提升權(quán)限,遠(yuǎn)程執(zhí)行任意代碼。CNVD提醒廣大Microsoft用戶盡快下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
CNVD收錄的相關(guān)漏洞包括:MicrosoftOffice內(nèi)存破壞漏洞(CNVD-2016-10969、CNVD-2016-10968、CNVD-2016-10967、CNVD-2016-10966、CNVD-2016-10976、CNVD-2016-10975、CNVD-2016-10974、CNVD-2016-10973)等。上述漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
2、Adobe產(chǎn)品安全漏洞
Adobe Flash
Player是美國(guó)奧多比(Adobe)公司的一款跨平臺(tái)、基于瀏覽器的多媒體播放器產(chǎn)品。本周,該產(chǎn)品被披露存在內(nèi)存錯(cuò)誤引用和遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用漏洞執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Adobe
FlashPlayer內(nèi)存錯(cuò)誤引用漏洞(CNVD-2016-10916、CNVD-2016-10915、CNVD-2016-10914、CNVD-2016-10913、CNVD-2016-10912、CNVD-2016-10911)、Adobe
FlashPlayer類型混淆遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2016-10908、CNVD-2016-10909)等。上述漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
3、OIC產(chǎn)品安全漏洞
Exponent
CMS是美國(guó)OIC集團(tuán)公司的一套基于PHP的免費(fèi)、開源的模塊化內(nèi)容管理系統(tǒng)(CMS)。本周,該產(chǎn)品被披露存在SQL注入漏洞,攻擊者可利用漏洞控制應(yīng)用程序,訪問或修改數(shù)據(jù)。
CNVD收錄的相關(guān)漏洞包括:Exponent CMS'version'參數(shù)SQL注入漏洞、Exponent CMS
'author'參數(shù)SQL注入漏洞、Exponent CMS'src'參數(shù)SQL注入漏洞、Exponent CMS
'title'參數(shù)SQL注入漏洞、Exponent CMS'username'參數(shù)SQL注入漏洞、Exponent CMS
'is_what'參數(shù)SQL注入漏洞、Exponent CMS'version'參數(shù)SQL注入漏洞、Exponent CMS
'fileid'參數(shù)SQL注入漏洞等。上述漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
4、IBM產(chǎn)品安全漏洞
IBM InfoSphereInformation Server Framework(ISF)和IBM InfoSphereInformation
Server on Cloud是美國(guó)IBM公司的產(chǎn)品。IBM AIX是一套UNIX操作系統(tǒng)。 IBM
Campaign是一套用于幫助營(yíng)銷人員設(shè)計(jì)、執(zhí)行、衡量和優(yōu)化營(yíng)銷廣告的管理解決方案。IBM RationalTeam
Concert(RTC)是一套基于Jazz平臺(tái)且支持分散團(tuán)隊(duì)進(jìn)行實(shí)時(shí)相關(guān)協(xié)作的軟件生命周期管理解決方案。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞提升權(quán)限或發(fā)起跨站腳本攻擊等。
CNVD收錄的相關(guān)漏洞包括:IBM AIX lquerylv本地提權(quán)漏洞、IBM Campaign跨站腳本漏洞、IBM RationalTeam
Concert跨站腳本漏洞(CNVD-2016-10752、CNVD-2016-10750)、IBM RationalTeam Concert注入漏洞、IBM
InfoSphere Information Server Framework和IBM InfoSphereInformation Server on
Cloud點(diǎn)擊劫持漏洞。其中“IBM AIX lquerylv本地提權(quán)漏洞、IBM RationalTeam
Concert注入漏洞”的危害等級(jí)為“高級(jí)”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
5、NodCMS PHP代碼執(zhí)行漏洞
NodCMS是一套免費(fèi)的支持多語(yǔ)種的PHP開發(fā)框架。本周,NodCMS被披露存在代碼執(zhí)行漏洞。攻擊者可利用該漏洞在受影響應(yīng)用程序上下文中執(zhí)行任意代碼,也可能造成拒絕服務(wù)。目前,廠商尚未發(fā)布該漏洞的修補(bǔ)程序。在此提醒廣大用戶隨時(shí)關(guān)注廠商主頁(yè),以獲取最新版本。
專家點(diǎn)評(píng)和建議
中國(guó)電子銀行網(wǎng)特約中國(guó)金融認(rèn)證中心(CFCA)信息安全專家,對(duì)漏洞風(fēng)險(xiǎn)作出如下小結(jié):11月8日,微軟發(fā)布了2016年11月份的月度例行安全公告,共含14項(xiàng)更新,修復(fù)了MicrosoftWindows、Internet
Explorer、Edge、Office、Office Services、SQL Server和
WebApps中存在多個(gè)漏洞。攻擊者可提升權(quán)限,遠(yuǎn)程執(zhí)行任意代碼。此外,Adobe、OIC、IBM等多款產(chǎn)品被披露存在多個(gè)安全漏洞,攻擊者利用漏洞執(zhí)行任意代碼、提升權(quán)限或發(fā)起跨站腳本攻擊等。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè),及時(shí)獲取修復(fù)補(bǔ)厄解決方案。
京公網(wǎng)安備 11010502049343號(hào)