羽毛球馆灯具|羽毛球世锦赛2017林丹

信息安全周报|避免大规模生物识别数据泄露之策 小额双免盗刷难!持卡人可安心用

专题库
韩希宇 来源:?#27844;?#30005;子银行网 2019-02-22 10:37:49 信息安全生物识别漏洞 原创出品

核心提示伴随近年来移动支付的普及,为了匹配金融级别的应用,越来越多的设备逐渐开始支持本地生物识别的认证方式。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞218个,互联网上出现“VyOS权限提升漏洞、ZyxelNBG-418N v2 Modem跨站请求伪造漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为?#23567;V泄?#30005;子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  超过256万国人数据库“裸奔”半年多 包含人脸识别信息

  这份数据库所包含的信息几乎能够精准地?#19994;?#30446;标人物的位置以及大部分个人信息,如果被不法分子利用,稍加社会工程手?#38382;?#26045;诈骗或者钓鱼攻击,很可能造成一连串的安全事故。>>详细

  小额双免盗刷? ?#25910;?#23454;测:盗刷难!持卡人可放心使用

  小额双免可以轻易盗刷??#25910;?#26469;到?#25104;?#22330;进行现场实测,POS机必须紧贴接触才能实现盗刷,超过5cm则没有任何读取反应。而?#20197;?#20154;走动的时候,基本无法实现盗刷。>>详细

  工商银?#27844;?#26149;野:集团一体化安全管理探索

  围绕集团化、国际化和综合化发展战略,工商银行将国际安全管理核心要素与本行安全管理成功经验有机结?#24076;?#36890;过采取以下举措,建立起集团一体化安全管理架构,促进境外安全管理水平整体提升。>>详细

  ?#30340;?#20154;士:用户隐私数据如何泄露?多个?#26041;?#22343;有可能

  ?#35805;?#26469;说,如果用户数据完全存放在企业私有服务器或者私有云服务器中,这样泄露的可能性低一些。?#34892;?#20844;司会放在公有云服务器,这样的情况如果在网络和数据安全机制上做得不完善,服务器就有可能被黑客攻破,窃取到数据。>>详细

  WinRAR压缩软件曝高危漏洞 影响全球超5亿用户

  黑客可利用该漏洞绕过权限提升直接运行WinRAR,并将恶意文件放进Windows系统的启动文件夹中,只要用户重新开机恶意文件即自动运行,黑客便能“完全控制?#31508;?#23475;者计算机。>>详细

  京东金融就App侵犯隐私致?#31119;?#23433;卓版本确实存在问题

  近日,有用户在微博上发?#38469;?#39057;称京东金融App会保存用户的截屏图片在自己的文件?#24515;冢?#22240;此质疑京东金融App侵犯用户隐私。>>详细

  只需要不到20分钟 报告显示俄罗斯黑客是全球最快的入侵者

  CrowdStrike提出突破时间这个概念,既是为了揭示企业及国家所面临的网络威胁趋势,也是在警示网络安全?#21491;?#32773;需要继续提升应急响应时间,与时间赛跑、与黑客赛跑,亦是网络安全攻防对抗中至关重要的一环。>>详细

  美国安全巨头赛门铁克:逾4800个网站被黑客植入攻击代码

  研究表明,成千上万的网站正遭到网络黑客的攻击,他们在这些网站上植入攻击代码来窃取用户的支付信息。>>详细

  技术观澜

  HTTP/3来啦 你还在等什么?赶紧了解一下(下)

  在开放互联网上HTTP 2.0将只用于https://网址,而 http://网?#26041;?#32487;续使用HTTP/1,目的是在开放互联网?#26174;?#21152;使用?#29992;?#25216;术,以提供强有力的保护去遏制主动攻击。DANE RFC6698允许域名管理员不通过第三方CA自行发行证书。>>详细

  三星Galaxy App商店漏洞导致中间人攻击实现远程代码执行

  这将允许攻击者欺骗Galaxy Apps使用?#25105;?#24102;有?#34892;SL证书的主机名,并模拟应用商店API来修改设备上的现有应用。(最重要的是)攻击者可以在三星设备上利用此漏洞实现远程代码执?#23567;?gt;>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2019年02月11日-2019年02月17日)信息安全漏洞威胁整体评价级别为?#23567;?/P>

  国家信息安全漏洞共享平台(以?#24405;?#31216;CNVD)上周共收集、整理信息安全漏洞218个,其中高危漏洞62个、中危漏洞129个、低危漏洞27个。漏洞平均分值为5.75。上周收录的漏洞中,涉及0day漏洞84个(占39%),其中互联网上出现“VyOS权限提升漏洞、ZyxelNBG-418N v2 Modem跨站请求伪造漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Microsoft产品安全漏洞

  Microsoft Windows 10等都是美国微软(Microsoft)公司发布的一?#30423;胁?#20316;系统。Windows Domain Name System(DNS)是其中的一?#23376;?#21517;系统服务器。Microsoft Windows 10是一套个人电脑使用的操作系统。Windows Server 2016是一套服务器操作系统。Microsoft Internet Explorer(IE)是一款Web浏览器,是Windows操作系统附带的默认浏览器。Microsoft .NET Framework是一种全面且一致的编程模型。Visual Studio是开发工具包?#30423;胁?#21697;。Microsoft Windows是美国微软(Microsoft)公司发布的一?#30423;胁?#20316;系统。JET Database Engine是其中的一个数据库引擎。上周,上述产?#32321;?#25259;露存在远程代码执行和远程内存破坏漏洞,攻击者可利用漏洞执行?#25105;?#20195;码,造成内存破坏。

  CNVD收录的相关漏洞包括:Microsoft Windows DomainName System远程代码执行漏洞、Microsoft Windows远程代码执行漏洞(CNVD-2019-03928)、Microsoft Internet Explorer远程内存破坏漏洞(CNVD-2019-04150)、Microsoft .NET Framework和Visual Studio远程代码执行漏洞、Microsoft Windows JETDatabase Engine远程代码执行漏洞(CNVD-2019-04154、CNVD-2019-04155、CNVD-2019-04157、CNVD-2019-04156)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Adobe产品安全漏洞

  Adobe Acrobat是一套PDF文件编辑和转换工具,Adobe Reader是一套PDF文档阅读软件。上周,上述产?#32321;?#25259;露存在?#25105;?#20195;码执行和越界读取漏洞,攻击者可利用漏洞获取敏感信息,执行?#25105;?#20195;码。

  CNVD收录的相关漏洞包括:Adobe Acrobat和Reader?#25105;?#20195;码执行漏洞(CNVD-2019-03932、CNVD-2019-03934)、Adobe Acrobat和Reader越界读取漏洞(CNVD-2019-03938、CNVD-2019-03939、CNVD-2019-03940、CNVD-2019-03941、CNVD-2019-03942、CNVD-2019-03943)。其中,“Adobe Acrobat和Reader?#25105;?#20195;码执行漏洞(CNVD-2019-03932、CNVD-2019-03934)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。WebKit是其中的一个Web浏览器引擎组件。Apple macOS Sierra是为Mac计算机所开发的一套专用操作系统。macOS High Sierra是它的下一代产品。Hypervisor(?#32622;?#34394;拟机器监视器,VMM)是一个运行在物理服务器和操作系统之间的中间软件层,它可允许多个操作系统和应用共享一套基础物理硬件。上周,上述产?#32321;?#25259;露存在多个漏洞,攻击者可利用漏洞伪造地址栏内容,提升权限,执行?#25105;?#20195;码(内核破坏),造成ASSERT失败?#21462;?/P>

  CNVD收录的相关漏洞包括:多款Apple产品WebKit拒绝服务漏洞(CNVD-2019-04295、CNVD-2019-04296)、Apple macOS Sierra和macOS High Sierra Hypervisor权限提升漏洞、Apple macOS Sierra和macOS High Sierra IntelGraphics Driver内存破坏漏洞、Apple iOSSafariViewController地址栏欺骗漏洞、Apple iOS ReplayKit类?#31361;?#28102;漏洞、Apple iOS GasGauge内存破坏漏洞(CNVD-2019-04302)、Apple iOS Calculator未授权操作漏洞。其中,“Apple macOS Sierra和macOS High SierraHypervisor权限提升漏洞、Apple macOS Sierra和macOS High Sierra Intel Graphics Driver内存破坏漏洞、Apple iOS GasGauge内存破坏漏洞(CNVD-2019-04302)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  D-Link产品安全漏洞

  D-Link DIR-619L Rev.B、DIR-605LRev.B、DVA-5592、DCM-604、DCM-704、DIR-823G、DIR-600M C1和DIR-878都是(D-Link)公司的路由器产品。上周,该产?#32321;?#25259;露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过身份验证,访问路由器控制面板,执行?#25105;?#20195;码。

  CNVD收录的相关漏洞包括:D-Link DIR-619L和DIR-605L?#25442;?#20914;区溢出漏洞、D-Link DVA-5592认证绕过漏洞、D-Link DCM-604和DCM-704信息泄露漏洞、D-Link DCM-604和DCM-704凭证泄露漏洞、D-Link DIR-823G命令注入漏洞、D-Link DIR-600M认证绕过漏洞、D-Link DIR-878命令注入漏洞(CNVD-2019-04290、CNVD-2019-04292)。其中,除“D-Link DCM-604和DCM-704信息泄露漏洞、D-Link DCM-604和DCM-704凭证泄露漏洞、D-Link DIR-823G命令注入漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商尚未发布上述漏洞的修补程序。

  Foscam C2和Opticam i5操作系统命令注入漏洞

  Foscam C2和Opticami5都是?#27844;?#31119;斯?#30340;罰‵OSCAM)公司的网络摄像机产品。上周,Foscam C2和Opticami5设备被披露存在操作系统命令注入漏洞。远程攻击者可借助‘modelName’参数中的shell元字符利用该漏洞执行?#25105;釵S命令。

  小结

  上周,Google被披露存在权限提升和拒绝服务漏洞,攻击者可利用漏洞提升权限,造成拒绝服务。此外,Apple、HDF5、HPE等多款产?#32321;?#25259;露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行?#25105;?#20195;码(内存破坏),造成堆缓冲区越界读取,发起拒绝服务攻击?#21462;?#21478;外,Technicolor DPC3928SL被披露存在跨站脚本漏洞。远程攻击者可借助setSSID利用该漏洞注入?#25105;?#30340;Web脚本或HTML。建议相关用户随时关注上述厂?#35752;?#39029;,及时获取修复补丁或解决方案。

  ?#27844;?#30005;子银行网综合CNVD、第一财经日报、金融电子化、腾讯科技、驱动之家、观察者网、?#32531;餜oarTalk、FreebuF.COM报道

责?#20266;?#36753;:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        网络维护通知 财源源二维码
        合作媒体

        ?#27844;?#32593;络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 网易科技 | 中华财会网 | 第一财经网 | ?#26412;?#21830;报网 | 和讯科技 | 财新网 | ?#27844;?#32593;理财 | 金融界银行 | 光明网经济 | 东方?#32856;?#32593; | 经济观察网 | ?#27844;?#32463;营网 | 赛迪网 | 新华信息化 | ?#27844;?#26449;商城 | 同花顺金融服务网 | 环球网财经 | 投资时报 | 钛媒体 | ?#27844;?#37329;融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 外汇 | 品途网

        羽毛球馆灯具