客服热线:
手机版
二维码
中国电子' 银行网讯 国家' 信息安全漏洞共享平台上周共收集、整理信息安全漏洞340个,' 互联网上出现“Microsoft Edge 内存破坏漏洞(CNVD-2017-01981)、EMC documentumD2 远程代码执行漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。
一周信息安全要闻速览
央行发布《' 银行卡受理终端安全规范》 POS和ATM均需遵守新要求
金融标准化技术委员会归口,由中国人民银行科技司、中国银联股份有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、中国软件评测中心、信息产业信息安全测评中心等单位组成的工作组起草。>>详细">该标准由全国金融标准化技术委员会归口,由中国人民银行科技司、中国银联股份有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、中国软件评测中心、信息产业信息安全测评中心等单位组成的工作组起草。>>详细
两家收单机构被人行处罚:易票联被罚533万元 中付支付被罚6万元
金融机构支付服务管理规定、银行卡收单业务管理规定”,被没收违法所得,并处违法所得2倍罚款;中付支付科技有限公司合肥分公司因“违反银行卡收单业务相关法律制度规定”,被处6万元罚款。>>详细" border=1 align=middle>易票联支付有限公司因“违反非金融机构支付服务管理规定、银行卡收单业务管理规定”,被没收违法所得,并处违法所得2倍罚款;中付支付科技有限公司合肥分公司因“违反银行卡收单业务相关法律制度规定”,被处6万元罚款。>>详细
Google宣布攻破SHA-1加密:证明哈希值可与PDF文件内容冲突
交易、电子文档、开源软件资源库与软件更新等)的加密标准,现已被实际证明可精心制作出两份冲突的PDF文件。>>详细" border=1 align=middle>这项被业内广泛用于数字签名、文件完整性验证、以及保护广泛的数字资产(包括信用卡交易、电子文档、开源软件资源库与软件更新等)的加密标准,现已被实际证明可精心制作出两份冲突的PDF文件。>>详细
波音公司3.6万名员工数据意外被泄
金融标准化技术委员会归口,由中国人民银行科技司、中国银联股份有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、中国软件评测中心、信息产业信息安全测评中心等单位组成的工作组起草。>>详细">去年年底,该公司一名员工将公司电子表格通过电子邮件发送给了并不在公司就职的配偶。这名员工表示希望配偶帮助解决格式问题。这份文件包含3.6万名波音员工的敏感个人身份信息,包括姓名、出生地、BEMSID和会计部门代码。>>详细
移动APP安全行业报告金融篇
金融标准化技术委员会归口,由中国人民银行科技司、中国银联股份有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、中国软件评测中心、信息产业信息安全测评中心等单位组成的工作组起草。>>详细">移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内' 移动互联网活跃用户数已经突破10亿,移动互联网这样快速的推移,移动互联网的安全问题更为严峻。>>详细
中国发布《网络空间国际合作战略》
全球网络空间治理难题贡献中国方案,是指导中国参与网络空间国际交流与合作的战略性文件。>>详细" border=1 align=middle>经中央网络安全和信息化领导小组批准,外交部和国家互联网信息办公室3月1日共同发布《网络空间国际合作战略》。战略以和平发展、合作共赢为主题,以构建网络空间命运共同体为目标,就推动网络空间国际交流合作首次全面系统提出中国主张,为破解全球网络空间治理难题贡献中国方案,是指导中国参与网络空间国际交流与合作的战略性文件。>>详细
二维码支付迫切需要解决四大问题
机构投入了巨额补贴等原因外,还与目前相关管理制度尚未发布,无太大监管压力有关。>>详细" border=1 align=middle>二维码支付的快速发展除了商户投入成本低,客户体验佳以及这两家机构投入了巨额补贴等原因外,还与目前相关管理制度尚未发布,无太大监管压力有关。>>详细
安全漏洞周报
上周漏洞基本情况
上周信息安全漏洞威胁整体评价级别为高。
上周共收集、整理信息安全漏洞340 个,其中高危漏洞149 个、中危漏洞179 个、低危漏洞12 个。漏洞平均分值为6.41。上周收录的漏洞中,涉及0day漏洞125 个(占37%)。其中互联网上出现“Microsoft Edge 内存破坏漏洞(CNVD-2017-01981)、EMC documentumD2 远程代码执行漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。
上周重要漏洞安全告警
上周,CNVD 整理和发布以下重要安全漏洞信息。
1、Linux 产品安全漏洞
Linux kernel 是' 美国Linux 基金会发布的操作系统Linux 所使用的内核。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击或获取权限执行任意代码。
相关漏洞包括:Linux kernel 特权提升漏洞、Linux Kernel 不完全修复本地权限提升漏洞、Linux Kernel"net/sctp/socket.c"本地拒绝服务漏洞、Linux Kernel"drivers/infiniband/sw/rxe/rxe_mr.c"本地整数溢出漏洞、Linux kernel"include/linux/init_task.h"拒绝服务漏洞、Linux kernel 拒绝服务漏洞(CNVD-2017-01859、CNVD-2017-01852)、Linux kernel"ip6_gre.c"拒绝服务漏洞。
其中,“Linux kernel 特权提升漏洞、Linux Kernel 不完全修复本地权限提升漏洞、Linux Kernel"net/sctp/socket.c"本地拒绝服务漏洞、Linux Kernel"drivers/infiniband/sw/rxe/rxe_mr.c"本地整数溢出漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Adobe 存在产品安全漏洞
Adobe Flash Player 是美国Adobe 公司开发的一款广泛使用的、专有的多媒体程序播放器。上周,该产品被披露存在缓冲区溢出和内存破坏漏洞,攻击者可利用漏洞执行任意代码。
相关漏洞包括:Adobe FlashPlayer 内存破坏漏洞(CNVD-2017-01781、CNVD-2017-01782、CNVD-2017-01783、CNVD-2017-01784)、Adobe FlashPlayer 堆缓冲区溢出漏洞(CNVD-2017-01785、CNVD-2017-01786、CNVD-2017-01787)、Adobe FlashPlayer 整数溢出漏洞(CNVD-2017-01780)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Google 产品安全漏洞
Google Nexus/Pixel 都是美国谷歌(Google)公司的智能手机。Google Nexus 9是美国谷歌(Google)公司的一款平板电脑。NVIDIA GPUDrivers 是一个图形处理器驱动。上周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞以提升的内核权限执行任意代码。
相关漏洞包括:GoogleNexus/Pixel 产品Qualcomm Wi-Fi Driver 权限提升漏洞、GoogleNexus/Pixel 产品Qualcomm Wi-Fi Driver 权限提升漏洞(CNVD-2017-01580、CNVD-2017-01581、CNVD-2017-01582、CNVD-2017-01583、CNVD-2017-01584)、Google NexusNVIDIA GPU Driver 权限提升漏洞(CNVD-2017-01588、CNVD-2017-01589)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、Apple 产品安全漏洞
Apple macOS Sierra 是美国苹果(Apple)公司为Mac 计算机所开发的一套专用操作系统。Help Viewer 是其中的一个基于WebKit 的HTML 查看器。Bluetooth是一个蓝牙组件。GraphicsDriver 是一个图形驱动器组件。Apple Safari 是美国苹果公司的一款Web 浏览器,是Mac OS X 和iOS 操作系统附带的默认浏览器。WebKit 是KDE 社区开发的一套开源Web 浏览器引擎。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发起跨站脚本攻击或执行任意代码等。
相关漏洞包括:Apple macOSSierra Help Viewer 跨站脚本漏洞、Apple macOS Sierra Bluetooth 内存错误引用漏洞、Apple macOSSierra Graphics Driver 内存破坏漏洞、Apple Safari WebKit 内存破坏漏洞(CNVD-2017-01634、CNVD-2017-01635、CNVD-2017-01636、CNVD-2017-01685)、Apple SafariWebKit 内存初始化漏洞。除“Apple macOS Sierra Help Viewer 跨站脚本漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、TP-link C2 和C20i 默认凭证设计漏洞
TP-link 是一家中国网络设备制造商,如路由器、IOT 设备等。上周,TP-link被披露存在默认凭证设计漏洞。攻击者可利用漏洞执行多次system()命令,并以root 权限运行。目前,厂商尚未发布该漏洞的修补程序。在此,提醒广大用户随时关注厂商主页,以获取最新版本。
专家点评和建议
中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Linux 被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击或获取权限执行任意代码。此外,Adobe、Google、Apple 等多款产品被披露存在多个漏洞,攻击者利用漏洞可提升权限、发起跨站脚本攻击或执行任意代码等。另外,TP-link 被披露存在默认凭证设计漏洞。攻击者可利用漏洞执行多次system()命令,并以root 权限运行。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
(责任编辑:张倩 HF006)和讯网今天刊登了《金融业新标准强化银行支付和信息安全》一文,关于此事的更多报道,请在和讯财经客户端上阅读。
