温馨提示:
敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

信息安全周报|APP安全及隐私引关注 结果导向型模式增强金融信息保护

韩希宇 2019-03-01 18:17:23 信息安全 周报 原创出品
韩希宇     2019-03-01 18:17:23

核心提示现阶段法律规制的着眼点应集中于最后的“信息利用”环节,采用结果导向型保护模式以增强金融信息保护的实效性,同时警醒金融机构的保密义务。

  国家信息安全漏洞共享平台上周?#24425;?#38598;、整理信息安全漏洞194个,互联网上出现“HotelDruid跨站脚本漏洞、LibRaw'copy_bayer'函数空指针逆向引用漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银?#22411;?#20026;您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  三个4G/5G漏洞曝光:可拦截电话和追踪用户位置

  多名学者组成的团队近?#25307;?#24067;成功在4G/5G网络中发现三个新的安全漏洞,可用于拦截电话以及跟踪手机用户的位置。>>详细

  前方高能!谨防“裸奔”网络星球

  近期,苹果iOS 12.2 开发者版本中默认全?#21046;?#29992;TLS 1.3,谷歌宣布自Chrome 81版本起全面移除TLS 1.0及TLS 1.1,这一系列举动再次证明主流应用?#23433;?#20316;系统厂商对落后协议的淘汰!>>详细

  网络环境下侵犯个人信息问题研究

  网络环境下侵犯个人信息的受害人数量往往庞大、遍布全国甚至全球,关系复杂。个人利用网络进行娱乐、购物、交友、工作时在意网速的快、利用网络办事的效率高,往往忽视了对银行卡号、身份证号码、家庭住址、指纹等个人信息的保护。>>详细

  人脸识别系统联网打击号贩子 限制其乘坐高铁、贷款

  ?#26412;┦心?#21069;已经有30多家医疗结构配备了人脸识别系统,重点医?#33322;?#33021;够共享被公安机关处罚的2100多名号贩子头像、身份证信息等,利用人脸识别系统对这些票贩分子行为进行监控,一旦发现可疑行为就可以直接进行控制。>>详细

  结果导向型:增强金融信息保护的逻辑

  强调信息流转忽视信息安全,强调信息安全而放弃信息流转,均不公允,而应?#22868;?#39038;两个价值之间的平衡。>>详细

  日本央行数字货币研究报告:数据安全越来越重要

  日本央行指出,其与?#28572;?#20960;大央行一样,都尚?#20174;?#21457;行数字货币以取代纸币的?#33529;?#20294;针?#28304;?#31867;数字货币的研究有助于?#31169;?#20854;对支付效率、银行的?#24335;?#20013;介、流动性危机以及货币传输机制等方面的影响。>>详细

  银行卡网络?#20102;?#35841;担责?

  随着科技的高速发展,银行业也搭上了“互联网+”的顺风?#25285;?#20197;寻求更大的市场空间。但在行业高速发展的背景下也产生了很多问题,如银行卡虚假办理、银行卡?#20102;?#31561;现象频出,?#29616;?#25200;乱?#31169;?#34701;系统的良性发展。>>详细

  金融APP谁来保证财产安全和隐私?

  面?#20113;?#39057;出现的争议,金融机构应提高警惕,更好地对金融类APP进?#22411;?#21892;,加强安全及隐私保护。>>详细

  阿里云出现企业?#21019;?#30721;泄露涉及万科、咪咕,回应称:默认代码访问权限为私有,用户可手动修改

  阿里云平台出现企业?#21019;?#30721;泄露,由于阿里云代码?#27844;?#24179;台的项目权限设置存在歧义,导致开发者操作失误,造成至少40家以上企业的200多个项目代码泄露。>>详细

  技术观澜

  基于ONVIF协议的物联网设备参与DDoS反射攻击

  反射类型的DDoS攻击并不会直接攻击受害者IP,而是以受害者的IP构造UDP数据包,对反射源发送伪造的数据包,反射源向受害者IP响应的流量远超过攻击者伪造UDP流量的数据,DDoS黑客组织依靠此方式对受害者实施DDoS攻击。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2019年02月18日-2019年02月24日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以?#24405;?#31216;CNVD)上周?#24425;?#38598;、整理信息安全漏洞194个,其中高危漏洞48个、中危漏洞127个、低危漏洞19个。漏洞平均分值为5.60。上周?#31456;?#30340;漏洞中,涉及0day漏洞37个(占19%),其中互联网上出现“HotelDruid跨站脚本漏洞、LibRaw'copy_bayer'函数空指针逆向引用漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Cisco产品安全漏洞

  Cisco TelePresence Management Suite是一款视频服务器管理程序。Cisco Firepower Management Center是一款设备管理应用。Cisco TelePresence Video Communication Server是一款视频服务器。Cisco Web Security Appliance是一款WEB安全访问设备。Cisco SPA112 Series是一款SPA112系列IP电话。SPA525 Series是一款SPA525系列IP电话。SPA5X5 Series是一款SPA5X5系列IP电话。Cisco Firepower Threat Defense(FTD)是一套提供下一代防火墙服务的统一软件。上周,上述产品被披?#27934;?#22312;多个漏洞,攻击者可利用漏洞提交特殊的请求,绕过DROP策略,进行?#35789;?#26435;访问,造成拒绝服务?#21462;?/P>

  CNVD?#31456;?#30340;相关漏洞包括:Cisco TelePresenceManagement Suite SOAP?#35789;?#26435;访问漏洞、Cisco Firepower ManagementCenter跨站脚本漏洞(CNVD-2019-04919)、Cisco TelePresence Video Communication Server (VCS)跨站请求伪造漏洞、Cisco TelePresence Management Suite跨站脚本漏洞(CNVD-2019-04920)、Cisco Web SecurityAppliance安全绕过漏洞、Cisco SPA112、SPA525和SPA5X5 Series证书验证漏洞、Cisco Network Convergence System 1000 Series IOS XR Software信息泄露漏洞、Cisco Firepower Threat Defense输入验证漏洞。其中,“Cisco Network Convergence System 1000 Series IOS XR Software信息泄露漏洞”的综合评?#27573;?#39640;危”。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。WebKit是其中的一个Web浏览器引擎组件。tvOS是一?#23383;?#33021;电视操作系统;OS X El Capitan是一套专为Mac计算机所开发的专用操作系统。watchOS是一?#23383;?#33021;手表操作系统;macOS High Sierra是为Mac计算机所开发的一套专用操作系统。上周,上述产品被披?#27934;?#22312;多个漏洞,攻击者可利用漏洞获取敏感信息,执行?#25105;?#20195;码(内存?#33529;担?#36896;成ASSERT失败。

  CNVD?#31456;?#30340;相关漏洞包括:多款Apple产品WebKit断?#20801;?#36133;漏洞(CNVD-2019-04706、CNVD-2019-04707)、Apple iOS、tvOS和OS X El Capitan CFNetworkProxies信息泄露漏洞、多款Apple产品CoreGraphics越界读取漏洞、多款Apple产品Kernel远程代码执行漏洞、多款Apple产品Kernel信息泄露漏洞、多款Apple产品WebKit内存?#33529;?#28431;洞(CNVD-2019-04711)、Apple iOS、tvOS和macOS libxpc?#25105;?#20195;码执行漏洞。其中,“多款Apple产品Kernel远程代码执行漏洞、多款Apple产品WebKit内存?#33529;?#28431;洞(CNVD-2019-04711)、Apple iOS、tvOS和macOS libxpc?#25105;?#20195;码执行漏洞”的综合评?#27573;?#39640;危”。目前,厂商已经发布了上述漏洞的修补程序。

  Schneider Electric产品安全漏洞

  Schneider Electric Pelco Sarix Professional 1st generation cameras是一款IP摄像机设备。Schneider Electric EvlinkCharging Station是一套商用电动汽车充电解决方案。Schneider Electric Wiserfor KNX、homeLYnk和spaceLYnk都是法国施耐德电气(Schneider Electric)公司的用于不同逻辑控制器的自动化编程软件。Schneider Electric SoMachine Basic是一款用于在控制平台上对元器件进行编程、调试的软件。Schneider Electric InduSoft Web Studio和InTouch Edge HMI(前称InTouch Machine Edition)都是法国施耐德电气(Schneider Electric)公司的嵌入式HMI软件包。上周,上述产品被披?#27934;?#22312;多个漏洞,攻击者可利用漏洞查看明文形式的密码,获取?#35789;?#26435;访问权限,提升权限,执行?#25105;?#20195;码或造成拒绝服务。

  CNVD?#31456;?#30340;相关漏洞包括:Schneider Electric PelcoSarix Professional 1st generation cameras缓冲区溢出漏洞、Schneider Electric Pelco Sarix Professional 1st generation cameras权限提升漏洞、Schneider Electric Evlink Charging Station权限提升漏洞、Schneider Electric Wiser for KNX、homeLYnk和spaceLYnk未经授权访问漏洞、Schneider ElectricSoMachine Basic XML外部实体注入漏洞、Schneider Electric ModiconM221远程安全绕过漏洞、Schneider ElectricInduSoft Web Studio和InTouch Edge HMI代码执行漏洞、Schneider Electric Pelco Sarix Professional 1st generation cameras身份验证密码泄露漏洞。其中,“Schneider Electric Pelco Sarix Professional 1stgeneration cameras缓冲区溢出漏洞、Schneider Electric EvlinkCharging Station权限提升漏洞、Schneider Electric ModiconM221远程安全绕过漏洞、Schneider ElectricInduSoft Web Studio和InTouch Edge HMI代码执行漏洞”的综合评?#27573;?#39640;危”。目前,厂商已经发布了上述漏洞的修补程序。

  SAP产品安全漏洞

  SAP HANA是一套高性能的实时数据分析平台。Extended Application Services是一个应用程序服务器、Web服务器和SAP HANA System内Web应用的开发环境。SAP Cloud Connector是一款用于连接SAP云平台的连接器。SAP BusinessObjectsBusiness Intelligence Platform是一套商务智能软件?#25512;笠导?#25928;解决方案套件。SAP Cloud Connector是一款用于连接SAP云平台的连接器。SAP Landscape Management是一套业务流程解决方案。SAP ABAP Application Server是一款Web应用程序服务器。Gateway是其中的一个连接SAP软件与设备、环境和平台的框架。上周,该产品被披?#27934;?#22312;多个漏洞,攻击者可利用漏洞获取敏感信息,执行?#35789;?#26435;的操作,上传?#25105;?#25991;件,执行?#25105;?#20195;码。

  CNVD?#31456;?#30340;相关漏洞包括:SAP HANA ExtendedApplication Service信息泄露漏洞、SAP Cloud Connector代码注入漏洞、SAP BusinessObjects Business Intelligence Platform?#25105;?#25991;件上传漏洞、SAP Cloud Connector授权问题漏洞、SAP Landscape Management信息泄露漏洞(CNVD-2019-04859)、SAP ABAP ApplicationServer Gateway信息泄露漏洞、SAP Adaptive ServerEnterprise信息泄露漏洞(CNVD-2019-05032、CNVD-2019-05056)。其中,“SAP Cloud Connector代码注入漏洞、SAP BusinessObjects Business Intelligence Platform?#25105;?#25991;件上传漏洞、SAP Cloud Connector授权问题漏洞”的综合评?#27573;?#39640;危”。目前,厂商尚未发布上述漏洞的修补程序。

  Thinkphp 'Request.php'文件代码执行漏洞

  ThinkPHP是由上海顶想信息科技有限公司开发维护的MVC结构的开源PHP框架。上周,Thinkphp 'Request.php'文件被披?#27934;?#22312;代码执行漏洞。攻击者利用该漏洞对目标网站进行远程命令执行攻击。

  小结

  上周,Cisco被披?#27934;?#22312;多个漏洞,攻击者可利用漏洞提交特殊的请求,绕过DROP策略,进行?#35789;?#26435;访问,造成拒绝服务?#21462;?#27492;外,Apple、Schneider Electric、SAP等多款产品被披?#27934;?#22312;多个漏洞,攻击者可利用漏洞获取敏感信息,执行?#35789;?#26435;的操作,提升权限,上传?#25105;?#25991;件,执行?#25105;?#20195;码或造成拒绝服务?#21462;?#21478;外,Thinkphp 'Request.php'文件被披?#27934;?#22312;代码执行漏洞。攻击者利用该漏洞对目标网站进行远程命令执行攻击。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银?#22411;?#32508;合CNVD、上海证券报、上海金融报、金融投资报、中国法院网、cnBeta、?#32531;餜oarTalk、FreebuF.COM、巴比特资讯、投?#22411;?#25253;道

责?#20266;?#36753;:韩希宇

收藏

收藏成功

确定
羽毛球馆灯具 天津快乐10分体育彩票开奖结果查询 青海快三今天推荐号 北京时时全天计划 快三选号技巧规律 天津快乐十分杀号什么意思 天津快乐十分杀号什么意思 为什么幸运快3要找代玩 新时时二星缩水软件 黑龙江36选7中奖结果查询结果 重庆时时开奖历史记录