302 Found


Powered by Tengine
tengine

信息安全周报|银联发布移动支付安全报告 物联网安全建设添新动能

2019-01-25 10:54
来源:中国电子银行网
作者:韩希宇
字号:
核心提示: 调查显示,指纹支付等生物识别支付方式获得超过半数消费者的肯定,较去年数据又提升了6个百分点,在35岁以下的男性中,指纹识别成为使用率最高的验证方式。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞375个,互联网上出现“DolibarrERP-CRM 'rowid' SQL注入漏洞、Ampache存在多个反射型跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  中国银联发布2018安全调查报告 移动支付呈现5大特点

  在岁末年初交替之际,中国银联带您共同探究在过去的一年里,消费者在使用移动支付领域有哪些新趋势、新变化,新风险,又该如何守护好自己的钱袋子。>>详细

  智慧物流建设按下“快进键” CFCA无纸化方案注入新动能

  线上生成商品配送单并交付到物流企业,物流企业的运输系统生成排程单,自动产生签收单请用户签收的环节,使用代表各业务相关方身份的数字证书对以上单据加盖数字证书,尤其是在用户签收过程中使用场景型数字证书记录和固化用户签收场景证据,这对货值较大的业务而言是极其有效的司法保障手段。>>详细

  霍学文:发展金融科技要打造好技术、安全、信任三个根基

  拥有高度自主知识产权的核心技术是生存之本,金融科技产业也是一样,我们要加强金融科技,尤其是信息安全科技的技术硬件建设。>>详细

  2019中国物联网安全高峰论坛在京召开

  物联网发展的终极形态,将是广泛互联、应用融合、实时反馈、跨域交互、高度异构,这将成为物联网泛在化的必然趋势,并呈现出三个主要特点:一是规模大,应用广;二是形态复杂多变;三是既有的边界被打破。>>详细

  美国多家大银行泄露大量贷款文件:数量达2400多万份

  泄露似乎可以追溯到德克萨斯州金融数据及分析公司Ascension,它提供数据分析、投资组合估值分析服务。在服务过程中,Ascension将纸制文档、手写文本转化为计算机可以阅读的文件。>>详细

  加拿大银行业协会呼吁建立全国数字身份识别系统

  近日加拿大政府已经就“开放式银行”模式展开公众意见征询,支付系统现代化脚步不断加快,区块链和人工智能也开始走入日常生活,因此数字识别改革更是变得非常紧迫。>>详细

  大厂也难逃GDPR 谷歌、亚马逊再遭投诉

  许多企业的服务会设置自动化系统来响应访问请求,但他们通常不会给每个用户提供其详细的数据信息。多数情况下,用户只能获取原始数据,但对于这些数据被谁共享、用于何处的情况并不知情。这便是GDPR中所说的结构性侵权,因为这些系统正是为了隐藏相关信息而构建的。>>详细

  美国多个赌博网站泄露1.08亿条信息 包括支付卡资料

  这些信息是从ElasticSearch服务器泄露的,并在网上流传,不需要密码就能获得。>>详细

  技术观澜

  技术分享|多种测试HTTP身份验证的方法

  HTTP基础认证(BA)是实现对Web资源访问控制的一种最简单的技术,因为它不需要设计cookie、会话识别符或登录页面,HTTP基础认证是需要使用到HTTP头中的标准字段,而且还不需要进行握手。>>详细

  针对银行木马BokBot核心模块的深入分析

  BokBot恶意软件具有强大的功能,分为命令和控制、模块化两类,具体功能包括:执行进程、注册表编辑、写入文件系统、登录、混淆、防篡改、窃取凭据、拦截代理、通过VNC进行远程控制。>>详细

  借助Rekall进行内存实时分析

  工作中,使用过Volatility进行内存取证的朋友可能已经注意到了,它有一个缺点:无法进行实时内存分析。那么,如果需要实时内存取证的话,该怎么办呢?别急,这时候Rekall就可以派上用场了。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2019年01月14日-2019年01月20日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞375个,其中高危漏洞110个、中危漏洞236个、低危漏洞29个。漏洞平均分值为5.86。上周收录的漏洞中,涉及0day漏洞161个(占43%),其中互联网上出现“DolibarrERP-CRM'rowid' SQL注入漏洞、Ampache存在多个反射型跨站脚本漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Adobe产品安全漏洞

  Adobe Acrobat是一套PDF文件编辑和转换工具,Adobe Reader是一套PDF文档阅读软件。上周,上述产品被披露存在越界读取漏洞,攻击者可利用漏洞获取敏感信息。

  CNVD收录的相关漏洞包括:Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-01912、CNVD-2019-01913、CNVD-2019-01914、CNVD-2019-01915、CNVD-2019-01916、CNVD-2019-01917、CNVD-2019-01918、CNVD-2019-01919)。目前,厂商已经发布了上述漏洞的修补程序。

  Google产品安全漏洞

  Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码。

  CNVD收录的相关漏洞包括:Google Chrome V8缓冲区溢出漏洞(CNVD-2019-01111)、Google Chrome WebAssembly代码执行漏洞、Google Android越界写入漏洞(CNVD-2019-01560、CNVD-2019-01561)、Google Android Kernel权限提升漏洞(CNVD-2019-01596)、Google Android远程代码执行漏洞(CNVD-2019-01597、CNVD-2019-01598、CNVD-2019-01601)。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Cisco产品安全漏洞

  Cisco Email Security Appliance(ESA)是一个电子邮件安全设备。AsyncOS Software是使用在其中的操作系统。Cisco Integrated Management Controller(IMC)Supervisor是一套用于对UCS(统一计算系统)进行管理的工具,它支持HTTP、SSH访问等,并可对服务器进行开机、关机和重启等操作。Cisco Registered Envelope Service是一套邮件服务解决方案。Cisco Adaptive Security Appliances(ASA,自适应安全设备)Software是一套运行于防火墙中的操作系统。Cisco Firepower Threat Defense(FTD)Software一套提供下一代防火墙服务的统一软件。Cisco IOS Software 和IOSXE Software都是为其网络设备开发的操作系统。Cisco Prime CollaborationAssurance(PCA)是一套企业协作网络管理解决方案。Cisco IOS Access Points(APs)Software是一套用于管理控制访问接入点设备的软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码,发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:Cisco Email Security Appliance S/MIME拒绝服务漏洞、Cisco Policy Suite forMobile和Policy Suite Diameter Routing Agent访问绕过漏洞、Cisco Integrated Management Controller Supervisor SQL注入漏洞、Cisco Registered Envelope Service信息泄露漏洞、Cisco Adaptive Security Appliance Software和Cisco Firepower Threat Defense Software拒绝服务漏洞、Cisco IOS 和IOS XE Software拒绝服务漏洞(CNVD-2019-01903)、Cisco Prime Collaboration Assurance跨站请求伪造漏洞(CNVD-2019-01908)、Cisco IOS Access Points Software 拒绝服务漏洞。其中,除“Cisco Registered Envelope Service信息泄露漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple macOS Sierra、macOSHigh Sierra和macOS Mojave都是美国苹果(Apple)公司为Mac计算机所开发的不同版本的专用操作系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,绕过管理员身份验证(无需管理员密码),执行任意代码。

  CNVD收录的相关漏洞包括:Apple macOS High Sierra Apple Graphics Power Management缓冲区溢出漏洞、Apple macOS High Sierra Apple Graphics Control缓冲区溢出漏洞、Apple macOS Sierra Remote Management权限漏洞、Apple macOS High SierraAMD输入验证漏洞、Apple macOS High Sierra Security逻辑缺陷漏洞、Apple macOS High Sierra Kernel越界读取漏洞(CNVD-2019-01542)、Apple macOS High Sierra APFS逻辑缺陷漏洞、Apple macOS Intel Graphics Driver内存错误引用漏洞。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  多款Tenda产品httpd缓冲区溢出漏洞(CNVD-2019-01888)

  Tenda AC7等都是中国腾达(Tenda)公司的无线路由器产品。httpd是其中的一个HTTP服务器组件。上周,多款Tenda产品中的httpd被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞造成拒绝服务(覆盖函数的返回值)。

  小结

  上周,Adobe被披露存在越界读取漏洞,攻击者可利用漏洞获取敏感信息。此外,Google、Cisco、Apple等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,升权限,绕过管理员身份验证(无需管理员密码),执行任意代码,发起拒绝服务攻击等。另外,多款Tenda产品httpd被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞造成拒绝服务(覆盖函数的返回值)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、新浪科技、经济参考报、移动支付网、未央网、FreebuF.COM、嘶吼RoarTalk报道

 

责任编辑:韩希宇

您有好的观点和精彩的文章,欢迎投稿。投稿邮箱:cebnetnews@cfca.com.cn 。

微信扫一扫,在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP(半刻金融)。

中国电子银行网官方微信 中国电子银行网手机网站 中国电子银行网官方APP
 
 
 
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停

 

新闻推荐

Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证05045998号—2. 京公网安备110102004896号

可信网站