来源:中国电子银行网 作者:本站收录 发布时间:2017-11-03 09:54:26 字体:[大 中 小]
摘 要:几年前,业内还在争论移动支付的技术标准、可用方案和发展前景;现在,HCE技术、条码技术的发展有效降低了移动支付应用门槛,支付标记化技术(Token)的应用提升了支付信息安全保障。
国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞482个,互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。小编网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
FireEye在GitHub上开源密码破解工具GoCrack
考虑到密码的敏感性,GoCrack 使用了授权系统,可防止用户访问任务数据,而一些敏感操作,如修改任务,查看破解密码,下载任务文件等都可以被记录下来,并供管理员审核。
央行支付司司长谢众:“无卡”支付时代的几点监管意见
无论形式如何纷繁复杂,无卡支付始终不会脱离交易发起、传输、清算、结算等核心环节,银行卡作为账户载体的本质和其背后成熟的产业基础优势依然存在。
清华教授谢平:金融大数据基础完备 人工智能应用于金融监管远景宏大
预警可能是人工智能在金融监管领域当中突破的第一个环节,当人工智能发现我们的金融机构出现风险征兆的时候,会主动预警、提醒。
技术观澜
软件安全构建成熟度模型演变与分析
软件安全开发主要是从生命周期的角度,对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结,通过采取各种安全活动来保证尽可能得到安全的软件。
GP TEE中的几种存储方式介绍
我们知道TEEOS最重要的功能莫过于安全存储了,这是一切安全的前提,根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS安全存储。
针对近期某款POS机攻击案例分析及建议
相对IC卡来说,磁条卡本身防护程度较低,磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡,因为IC卡较磁条卡更难被复制,即使芯片卡中的数据泄露,也很难直接用于制造伪卡。
安全威胁播报
上周漏洞基本情况
上周(2017年10月23日-2017年10月29日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞482个,其中高危漏洞127个、中危漏洞326个、低危漏洞29个。漏洞平均分值为5.82。上周收录的漏洞中,涉及0day漏洞103个(占21%),其中互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数853个,与前周(635个)环比增长34%。
上周重要漏洞安全告警
Google产品安全漏洞
Android是美国谷歌公司开发的一套以Linux为基础的开源操作系统。Mediaframework(libhevc)是其中的一个用于多媒体开发的hevc解码库。上周,该产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Google AndroidMedia Framework远程代码执行漏洞(CNVD-2017-31360、CNVD-2017-31361、CNVD-2017-31362、CNVD-2017-31363、CNVD-2017-31364、CNVD-2017-31365、CNVD-2017-31366、CNVD-2017-31367)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Oracle产品安全漏洞
Oracle E-Business Suite是美国甲骨文公司的一套全面集成式的全球业务管理软件。OracleKnowledge Management是其中的一个知识管理组件。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。OracleWebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性。
CNVD收录的相关漏洞包括:OracleKnowledge Management组件存在未明漏洞、Oracle KnowledgeManagement组件存在未明漏洞(CNVD-2017-31058、CNVD-2017-31059)、OracleWebLogic Server存在未明漏洞(CNVD-2017-31499、CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503)。除“OracleWebLogic Server存在未明漏洞(CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
D-Link产品安全漏洞
D-Link DIR-850L REV.A和REV.B都是友讯(D-Link)公司的无线路由器产品。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、获取权限或执行任意代码。
CNVD收录的相关漏洞包括:D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.A跨站脚本漏洞、D-LinkDIR-850L REV.A跨站脚本漏洞(CNVD-2017-31794、CNVD-2017-31795、CNVD-2017-31796)、D-LinkDIR-850L REV.B密码泄露漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞(CNVD-2017-31792)。其中,“D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞(CNVD-2017-31792)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
WordPress产品安全漏洞
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,改产品被披露存在SQL注入漏洞,攻击者可利用漏洞执行任意SQL命令。
CNVD收录的相关漏洞包括:WordPresseventr 'event'参数SQL注入漏洞、WordPress eventr SQL注入漏洞、WordPress SQL注入漏洞(CNVD-2017-31384)、WordPressSupport Ticket System SQL注入漏洞、WordPress surveys 'action'变量SQL注入漏洞、WordPresssurveys SQL注入漏洞、WordPress surveys 'survey_id'变量SQL注入漏洞、WordPressWatuPRO SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Arris NVG599 AT&T U-verse ROOT获取漏洞
Arris NVG599是美国Arris集团公司的一款路由器产品。上周,Arris被披露存在权限提升漏洞,远程攻击者可通过在49955端口上建立会话,并安装新软件利用该漏洞获取root权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结
上周,Google被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。此外,Oracle、D-Link、Wordpress等多款产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、提升权限或执行任意代码等。另外,Arris被披露存在权限提升漏洞,远程攻击者可通过在49955端口上建立会话,并安装新软件利用该漏洞获取root权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。