中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞433个,互联网上出现“Barracuda WebApp Firewall和Load Balancer远程命令注入漏洞、Barracuda Networks Spamand Virus Firewall远程命令注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。
一周信息安全要闻速览
毒代理——绕过HTTPS和VPN黑掉你的在线身份
该攻击依赖于代理自动配置(PAC)文件,也就是指定Web浏览器和其他用户代理如何处理HTTP、HTTPS和FTP流量的文件。PAC文件使用名为FindProxyForURL的JavaScript函数,确定URL是直接获取还是通过代理服务器获取。
滴滴并购Uber 百度钱包或受影响
出行服务是BAT近年来的一个争夺焦点。Uber中国的地图服务由百度地图独家提供,而百度钱包亦是Uber中国主要的支付渠道之一。对于地图和支付服务提供商来说,叫车(car hailing)一直是最高频的使用场景之一,这也是百度在2014年战略投资Uber全球6亿美元、2015年与海航资本共同投资Uber中国A轮融资的主要原因。与此同时,阿里巴巴和腾讯则投资了滴滴。
Worldpay研究发现精英购物人群每月为全球网购贡献92%的收入
中国是全球最大的移动购物市场。33%的超级购物者最近一次的网购是通过移动端完成的,稍低于全国普通消费者36%的平均水平。中国超级购物者相比于支付宝(18%)更可能选择使用信用卡(54%)或是借记卡(27%)用于一次性网购的支付交易,这跟国内大多数消费者的选择大相径庭。
首批支付机构续牌结果将在本月揭晓
目前,支付牌照的业务类型共包含,银行卡收单、互联网支付、移动支付、电视支付、固定电话支付、预付卡发行与受理等六类。其中,在移动互联网作为基础设施日趋完善的今天,其中三类支付牌照尤为抢手,即移动支付牌照、银行卡收单牌照以及互联网支付牌照。
大宗商品交易所微信支付被叫停 腾讯:资质不够
随着支付平台的多元化发展,支付方式从最初的网银,快捷支付演变成多种途径,以支付宝、微信钱包为例。新型支付方式与人们的日常生活联系也愈发紧密。小到衣食住行,大到投资理财,各行各业充斥着它们的身影。
机构:中国成勒索软件 感染最严重国家之一
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低。
信息和技术
伪基站检测将在全国公安系统全面落地
公安部授予腾讯公司成立“公安部打击治理电信网络犯罪防控中心”,同时腾讯反电信网络诈骗联合实验室的“麒麟伪基站实时检测系统”将在全国的公安系统全面落地使用,并为公安机关打击伪基站违法犯罪活动提供技术支持。
安全漏洞周报
上周漏洞基本情况
上周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞433个,其中高危漏洞159个、中危漏洞254个、低危漏洞20个。漏洞平均分值为6.12分。上周收录的漏洞中,涉及0day漏洞108个(占25%)。其中互联网上出现“Barracuda WebApp Firewall和Load Balancer远程命令注入漏洞、Barracuda Networks Spamand Virus Firewall远程命令注入漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数158个,与之前一周(648个)环比下降76%。
上周重要漏洞信息
1、Oracle产品安全漏洞
Oracle MySQLServer是一个轻量的关系型数据库系统。上周,该产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性。
CNVD收录的相关漏洞包括:Oracle MySQLServer存在未明漏洞(CNVD-2016-05386、CNVD-2016-05387、CNVD-2016-05388、CNVD-2016-05389、CNVD-2016-05390、CNVD-2016-05391、CNVD-2016-05392、CNVD-2016-05393)等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Google产品安全漏洞
Google Chrome是由Google开发的一款Web浏览工具。上周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息或发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:Google Chrome拒绝服务漏洞(CNVD-2016-05481)、Google ChromeV8内存破坏漏洞(CNVD-2016-05586)、Google Chrome PAC功能信息泄露漏洞、Google ChromeOS堆缓冲区溢出漏洞、Google Chrome libxml2内存错误引用漏洞、Google ChromeExtensions子系统拒绝服务漏洞、Google Chrome CSPSource::schemeMatches信息泄露漏洞、Google Chrome'ByteArray::Get'方法堆缓冲区溢出漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Apple产品安全漏洞
Apple iOS、OS X、tvOS和watchOS都是美国苹果(Apple)公司的产品。Apple iOS是为移动设备所开发的一套操作系统;OS X是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统。kernel是其中的一个内核组件。Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器;WebKit是KDE社区开发的一套开源Web浏览器引擎,目前被Apple Safari及Google Chrome等浏览器使用。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或造成内存破坏等。
CNVD收录的相关漏洞包括:多款Apple产品跨站脚本漏洞、多款Apple产品内存破坏漏洞(CNVD-2016-05667)、多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)、多款Apple产品WebKit内存破坏漏洞(CNVD-2016-05672、CNVD-2016-05671、CNVD-2016-05669)、多款Apple产品WebKit信息泄露漏洞等。其中,“多款Apple产品kernel内存破坏漏洞(CNVD-2016-05665、CNVD-2016-05663)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、PHP产品安全漏洞
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。上周,该产品被披露存在远程代码执行、信息泄露和拒绝服务漏洞,攻击者可利用漏洞执行远程代码、获取敏感信息和发起拒绝服务攻击。
CNVD收录的相关漏洞包括:PHP远程代码执行漏洞(CNVD-2016-05253)、PHPvirtual_file_ex拒绝服务漏洞、PHP php_url_parse_ex拒绝服务漏洞、PHPlocale_accept_from_http拒绝服务漏洞、PHP ext/snmp/snmp.c拒绝服务漏洞、PHPext/session/session.c拒绝服务漏洞、PHP exif_process_user_comment拒绝服务漏洞、PHPexif_process_IFD_in_MAKERNOTE信息泄露漏洞等。其中,PHP远程代码执行漏洞(CNVD-2016-05253)的综合评级为“高危”。目前,除“PHP远程代码执行漏洞(CNVD-2016-05253)”外,厂商已发布其余漏洞的补丁程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Barracuda Web App Firewall和Load Balancer远程命令注入漏洞
Barracuda Web Application Firewall和Load Balancer都是美国梭子鱼(Barracuda Networks)公司的产品。前者是一款Web应用防火墙,后者是一款应用交付控制器。上周,Barracuda Web App Firewall和Load Balancer被披露存在远程命令注入漏洞。攻击者可利用该漏洞在受影响设备上下文中执行任意命令。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。
专家点评和建议
中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Oracle产品被披露存在未明漏洞,攻击者可利用漏洞影响可用性。此外,Google、Apple、PHP等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击和发起拒绝服务攻击等。另外,Barracuda Web AppFirewall和Load Balancer被披露存在远程命令注入漏洞。攻击者可利用该漏洞在受影响设备上下文中执行任意命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
来源:中国电子银行网 韩希宇
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论