國家信息安全漏洞共享平臺(tái)上周共收集、整理信息安全漏洞340個(gè),互聯(lián)網(wǎng)上出現(xiàn)“Microsoft Edge 內(nèi)存破壞漏洞(CNVD-2017-01981)、EMC DocumentumD2 遠(yuǎn)程代碼執(zhí)行漏洞”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞,并特約中國金融認(rèn)證中心(CFCA)信息安全專家對(duì)漏洞風(fēng)險(xiǎn)作出點(diǎn)評(píng)和建議。
一周信息安全要聞速覽
央行發(fā)布《銀行卡受理終端安全規(guī)范》 POS和ATM均需遵守新要求
詳細(xì)">
該標(biāo)準(zhǔn)由全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口,由中國人民銀行科技司、中國銀聯(lián)股份有限公司、中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行、中國光大銀行、招商銀行、中國郵政儲(chǔ)蓄銀行、中國金融電子化公司、中金金融認(rèn)證中心有限公司、北京銀聯(lián)金卡科技有限公司、銀聯(lián)商務(wù)有限公司、福建聯(lián)迪商用設(shè)備有限公司、中國軟件評(píng)測中心、信息產(chǎn)業(yè)信息安全測評(píng)中心等單位組成的工作組起草。>>詳細(xì)
兩家收單機(jī)構(gòu)被人行處罰:易票聯(lián)被罰533萬元 中付支付被罰6萬元
詳細(xì)">
易票聯(lián)支付有限公司因“違反非金融機(jī)構(gòu)支付服務(wù)管理規(guī)定、銀行卡收單業(yè)務(wù)管理規(guī)定”,被沒收違法所得,并處違法所得2倍罰款;中付支付科技有限公司合肥分公司因“違反銀行卡收單業(yè)務(wù)相關(guān)法律制度規(guī)定”,被處6萬元罰款。>>詳細(xì)
Google宣布攻破SHA-1加密:證明哈希值可與PDF文件內(nèi)容沖突
詳細(xì)">
這項(xiàng)被業(yè)內(nèi)廣泛用于數(shù)字簽名、文件完整性驗(yàn)證、以及保護(hù)廣泛的數(shù)字資產(chǎn)(包括信用卡交易、電子文檔、開源軟件資源庫與軟件更新等)的加密標(biāo)準(zhǔn),現(xiàn)已被實(shí)際證明可精心制作出兩份沖突的PDF文件。>>詳細(xì)
波音公司3.6萬名員工數(shù)據(jù)意外被泄
詳細(xì)">
去年年底,該公司一名員工將公司電子表格通過電子郵件發(fā)送給了并不在公司就職的配偶。這名員工表示希望配偶幫助解決格式問題。這份文件包含3.6萬名波音員工的敏感個(gè)人身份信息,包括姓名、出生地、BEMSID和會(huì)計(jì)部門代碼。>>詳細(xì)
移動(dòng)APP安全行業(yè)報(bào)告金融篇
詳細(xì)">
移動(dòng) APP 已逐步滲透入我們的生活,據(jù)統(tǒng)計(jì),2016年,APP 發(fā)行數(shù)量僅電商、金融、游戲這三大類共計(jì)高達(dá)2萬左右,國內(nèi)移動(dòng)互聯(lián)網(wǎng)活躍用戶數(shù)已經(jīng)突破10億,移動(dòng)互聯(lián)網(wǎng)這樣快速的推移,移動(dòng)互聯(lián)網(wǎng)的安全問題更為嚴(yán)峻。>>詳細(xì)
中國發(fā)布《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》
詳細(xì)">
經(jīng)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組批準(zhǔn),外交部和國家互聯(lián)網(wǎng)信息辦公室3月1日共同發(fā)布《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》。戰(zhàn)略以和平發(fā)展、合作共贏為主題,以構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體為目標(biāo),就推動(dòng)網(wǎng)絡(luò)空間國際交流合作首次全面系統(tǒng)提出中國主張,為破解全球網(wǎng)絡(luò)空間治理難題貢獻(xiàn)中國方案,是指導(dǎo)中國參與網(wǎng)絡(luò)空間國際交流與合作的戰(zhàn)略性文件。>>詳細(xì)
二維碼支付迫切需要解決四大問題
詳細(xì)">
二維碼支付的快速發(fā)展除了商戶投入成本低,客戶體驗(yàn)佳以及這兩家機(jī)構(gòu)投入了巨額補(bǔ)貼等原因外,還與目前相關(guān)管理制度尚未發(fā)布,無太大監(jiān)管壓力有關(guān)。>>詳細(xì)
安全漏洞周報(bào)
上周漏洞基本情況
上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為高。
上周共收集、整理信息安全漏洞340 個(gè),其中高危漏洞149 個(gè)、中危漏洞179 個(gè)、低危漏洞12 個(gè)。漏洞平均分值為6.41。上周收錄的漏洞中,涉及0day漏洞125 個(gè)(占37%)。其中互聯(lián)網(wǎng)上出現(xiàn)“Microsoft Edge 內(nèi)存破壞漏洞(CNVD-2017-01981)、EMC DocumentumD2 遠(yuǎn)程代碼執(zhí)行漏洞”等零日代碼攻擊漏洞,請(qǐng)使用相關(guān)產(chǎn)品的用戶注意加強(qiáng)防范。
上周重要漏洞安全告警
上周,CNVD 整理和發(fā)布以下重要安全漏洞信息。
1、Linux 產(chǎn)品安全漏洞
Linux kernel 是美國Linux 基金會(huì)發(fā)布的操作系統(tǒng)Linux 所使用的內(nèi)核。上周,該產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞發(fā)起拒絕服務(wù)攻擊或獲取權(quán)限執(zhí)行任意代碼。
相關(guān)漏洞包括:Linux kernel 特權(quán)提升漏洞、Linux Kernel 不完全修復(fù)本地權(quán)限提升漏洞、Linux Kernel"net/sctp/socket.c"本地拒絕服務(wù)漏洞、Linux Kernel"drivers/infiniband/sw/rxe/rxe_mr.c"本地整數(shù)溢出漏洞、Linux kernel"include/linux/init_task.h"拒絕服務(wù)漏洞、Linux kernel 拒絕服務(wù)漏洞(CNVD-2017-01859、CNVD-2017-01852)、Linux kernel"ip6_gre.c"拒絕服務(wù)漏洞。
其中,“Linux kernel 特權(quán)提升漏洞、Linux Kernel 不完全修復(fù)本地權(quán)限提升漏洞、Linux Kernel"net/sctp/socket.c"本地拒絕服務(wù)漏洞、Linux Kernel"drivers/infiniband/sw/rxe/rxe_mr.c"本地整數(shù)溢出漏洞”的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此,提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
2、Adobe 存在產(chǎn)品安全漏洞
Adobe Flash Player 是美國Adobe 公司開發(fā)的一款廣泛使用的、專有的多媒體程序播放器。上周,該產(chǎn)品被披露存在緩沖區(qū)溢出和內(nèi)存破壞漏洞,攻擊者可利用漏洞執(zhí)行任意代碼。
相關(guān)漏洞包括:Adobe FlashPlayer 內(nèi)存破壞漏洞(CNVD-2017-01781、CNVD-2017-01782、CNVD-2017-01783、CNVD-2017-01784)、Adobe FlashPlayer 堆緩沖區(qū)溢出漏洞(CNVD-2017-01785、CNVD-2017-01786、CNVD-2017-01787)、Adobe FlashPlayer 整數(shù)溢出漏洞(CNVD-2017-01780)。上述漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此,提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
3、Google 產(chǎn)品安全漏洞
Google Nexus/Pixel 都是美國谷歌(Google)公司的智能手機(jī)。Google Nexus 9是美國谷歌(Google)公司的一款平板電腦。NVIDIA GPUDrivers 是一個(gè)圖形處理器驅(qū)動(dòng)。上周,上述產(chǎn)品被披露存在權(quán)限提升漏洞,攻擊者可利用漏洞以提升的內(nèi)核權(quán)限執(zhí)行任意代碼。
相關(guān)漏洞包括:GoogleNexus/Pixel 產(chǎn)品Qualcomm Wi-Fi Driver 權(quán)限提升漏洞、GoogleNexus/Pixel 產(chǎn)品Qualcomm Wi-Fi Driver 權(quán)限提升漏洞(CNVD-2017-01580、CNVD-2017-01581、CNVD-2017-01582、CNVD-2017-01583、CNVD-2017-01584)、Google NexusNVIDIA GPU Driver 權(quán)限提升漏洞(CNVD-2017-01588、CNVD-2017-01589)。上述漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此,提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
4、Apple 產(chǎn)品安全漏洞
Apple macOS Sierra 是美國蘋果(Apple)公司為Mac 計(jì)算機(jī)所開發(fā)的一套專用操作系統(tǒng)。Help Viewer 是其中的一個(gè)基于WebKit 的HTML 查看器。Bluetooth是一個(gè)藍(lán)牙組件。GraphicsDriver 是一個(gè)圖形驅(qū)動(dòng)器組件。Apple Safari 是美國蘋果公司的一款Web 瀏覽器,是Mac OS X 和iOS 操作系統(tǒng)附帶的默認(rèn)瀏覽器。WebKit 是KDE 社區(qū)開發(fā)的一套開源Web 瀏覽器引擎。上周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞發(fā)起跨站腳本攻擊或執(zhí)行任意代碼等。
相關(guān)漏洞包括:Apple macOSSierra Help Viewer 跨站腳本漏洞、Apple macOS Sierra Bluetooth 內(nèi)存錯(cuò)誤引用漏洞、Apple macOSSierra Graphics Driver 內(nèi)存破壞漏洞、Apple Safari WebKit 內(nèi)存破壞漏洞(CNVD-2017-01634、CNVD-2017-01635、CNVD-2017-01636、CNVD-2017-01685)、Apple SafariWebKit 內(nèi)存初始化漏洞。除“Apple macOS Sierra Help Viewer 跨站腳本漏洞”外,其余漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。在此,提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
5、TP-Link C2 和C20i 默認(rèn)憑證設(shè)計(jì)漏洞
TP-Link 是一家中國網(wǎng)絡(luò)設(shè)備制造商,如路由器、IOT 設(shè)備等。上周,TP-Link被披露存在默認(rèn)憑證設(shè)計(jì)漏洞。攻擊者可利用漏洞執(zhí)行多次system()命令,并以root 權(quán)限運(yùn)行。目前,廠商尚未發(fā)布該漏洞的修補(bǔ)程序。在此,提醒廣大用戶隨時(shí)關(guān)注廠商主頁,以獲取最新版本。
專家點(diǎn)評(píng)和建議
中國電子銀行網(wǎng)特約中國金融認(rèn)證中心(CFCA)信息安全專家,對(duì)漏洞風(fēng)險(xiǎn)作出如下小結(jié):上周,Linux 被披露存在多個(gè)漏洞,攻擊者可利用漏洞發(fā)起拒絕服務(wù)攻擊或獲取權(quán)限執(zhí)行任意代碼。此外,Adobe、Google、Apple 等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者利用漏洞可提升權(quán)限、發(fā)起跨站腳本攻擊或執(zhí)行任意代碼等。另外,TP-Link 被披露存在默認(rèn)憑證設(shè)計(jì)漏洞。攻擊者可利用漏洞執(zhí)行多次system()命令,并以root 權(quán)限運(yùn)行。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
京公網(wǎng)安備 11010502049343號(hào)