人脸识别迈入消费级 加速渗透金融场景

2017-12-08 15:42
来源:中国电子银行网
作者:韩希宇
字号:
核心提示: 招商银行已于近期在全国重点城市的ATM取款机系统上线了“刷脸取款”选项,用户可不带银行卡、身份证,不用输入银行账户,靠“刷脸”就能取款。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞473个,互联网上出现“Joomla! NS Download Shop组件SQL注入漏洞、PHP CityPortal SQL注入漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  “一带一路”政策红利下 我国跨境支付行业现状如何?

人脸识别迈入消费级 加速渗透金融场景

  随着科技的发展,越来越多“玩家”参与到第三方支付的行业中来,在场景上发力,凭借技术手段降低了金融服务的成本和门槛,提高了用户使用的频次,进一步扩大了金融服务的受众群体。>>详细

  货币统计渐失真 央行发文明确支付口径

人脸识别迈入消费级 加速渗透金融场景

  此次调整主要包含银行卡数据和电子支付业务,如对POS业务量统计不再局限于取现和消费,转账业务也将计入POS量统计,此外,银企直联业务也计入网上支付业务量。>>详细

  全面解读人脸识别技术市场 哪些巨头能够问鼎

人脸识别迈入消费级 加速渗透金融场景

  人脸识别技术加速渗透进入安防、银行、支付等众多领域,并且已经从政府级别应用、商业级别应用开始进入到消费级别的爆发时期,验证了人脸识别技术巨大的市场需求与广阔的应用前景。>>详细

  技术观澜

  海莲花(OceanLotus)团伙漏洞利用类攻击样本分析

人脸识别迈入消费级 加速渗透金融场景

  360威胁情报中心自在2015年首次揭露海莲花(OceanLotus)APT团伙的活动以后,一直密切监控其活动,跟踪其攻击手法和目标的变化。本文是对其攻击样本的详细分析。>>详细

  禁止服务器shift后门提权-sethc.exe后门

人脸识别迈入消费级 加速渗透金融场景

  在很多情况下,在提权比较艰难的时候,替换shift后门提权很方便,为了防止shift后门被利用,得对它设置权限。防止简单替换shift后门提权。>>详细

  XSS分析及如何预防

人脸识别迈入消费级 加速渗透金融场景

  XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息的泄漏。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2017年11月27日-2017年12月03日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞473个,其中高危漏洞174个、中危漏洞278个、低危漏洞21个。漏洞平均分值为6.20上周收录的漏洞中,涉及0day漏洞95个(占20%),其中互联网上出现“Joomla! NS Download Shop组件SQL注入漏洞、PHP CityPortal SQL注入漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数698个,与前周(509个)环比增长37%。

  上周重要漏洞安全告警

  Apache Struts2存在多个漏洞

  Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。上周,上述产品被披露存在远程代码执行和反序列化漏洞,攻击者可利用漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。

  CNVD收录的相关漏洞包括:Apache Struts2S2-054远程代码执行漏洞、FasterXML Jackson-databind存在反序列化漏洞。

  Adobe产品安全漏洞

  Adobe Reader等都是美国奥多比(Adobe)公司的产品。Adobe Reader是一款免费的PDF文件阅读器;Acrobat是一款PDF文件编辑和转换工具;Acrobat ReaderDC是一套用于查看、打印和批注PDF的工具。上周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

  CNVD收录的相关漏洞包括:Adobe Acrobat和Reader存在远程代码执行漏洞(CNVD-2017-35860、CNVD-2017-35861、CNVD-2017-35862、CNVD-2017-35863、CNVD-2017-35864、CNVD-2017-35865、CNVD-2017-35866、CNVD-2017-35867)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Huawei产品安全漏洞

  Huawei AR3200系列企业路由器是华为公司推出的新一代网络产品。HuaweiTE40/50/60是一款支持1080p60的高清视频会议终端。Huawei IPS Module提供了由管理员、管理员界面组成的管理员机制。HuaweiB2338-168是一款能够接收WiFi信号的无线终端设备。Huawei P9是一款智能手机。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码、提升权限或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:Huawei AR3200缓冲区溢出漏洞、Huawei AR3200整数溢出漏洞、HuaweiB2338-168 CPE设备室外单元存在串口访问无认证漏洞、Huawei B2338-168 CPE设备室外单元存在端口访问无认证漏洞、Huawei P9权限提升漏洞、多款Huawei产品拒绝服务漏洞(CNVD-2017-35588、CNVD-2017-35593)、多款Huawei产品输入验证漏洞。除“Huawei P9权限提升漏洞、多款Huawei产品拒绝服务漏洞(CNVD-2017-35593)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Cisco产品安全漏洞

  Cisco WebEx Business Suite(WBS30)client等都是美国思科公司的视频会议解决方案的客户端软件。Cisco AMP forEndpoints是高级恶意软件保护解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、提升权限、执行任意代码或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:Cisco Aironet认证绕过漏洞、Cisco AMP forEndpoints本地权限提升漏洞、多款Cisco产品拒绝服务漏洞(CNVD-2017-35721)、多款Cisco产品远程代码执行漏洞、多款Cisco产品远程代码执行漏洞(CNVD-2017-35723、CNVD-2017-35724、CNVD-2017-35725、CNVD-2017-35726)。除“Cisco Aironet认证绕过漏洞、Cisco AMP forEndpoints本地权限提升漏洞、多款Cisco产品拒绝服务漏洞(CNVD-2017-35721)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  多款ASUS产品networkmap缓冲区溢出漏洞(CNVD-2017-35393)

  ASUS RT-AC5300等都是华硕(ASUS)公司的无线路由器。上周,ASUS被披露存在缓冲区溢出漏洞,远程攻击者可利用该漏洞在路由器上执行任意代码。目前,厂商尚未发布漏洞修补程序。

  小结

  上周,Apache Struts2被披露存在远程代码执行和反序列化漏洞,攻击者可利用漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。此外,Adobe、Huawei、Cisco等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或发起拒绝服务攻击等。另外,ASUS被披露存在缓冲区溢出漏洞,远程攻击者可利用该漏洞在路由器上执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、亿欧网、北京商报、集微网、安全客、8090安全团队报道  

 

责任编辑:韩希宇

您有好的观点和精彩的文章,欢迎投稿。投稿邮箱:cebnetnews@cfca.com.cn 。

微信扫一扫,在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP(半刻金融)。

中国电子银行网官方微信 中国电子银行网手机网站 中国电子银行网官方APP
 
 
 
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停

 

新闻推荐

Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证05045998号—2. 京公网安备110102004896号

可信网站