学生时代无孔不入 黑客盯上2FA认证语音服务漏洞
中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞201个,互联网上出现“WECONLeviStudio堆缓冲区溢出漏洞、Apache struts2 devMode远程代码执行漏洞”等零日漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。
一周信息安全要闻速览
电话验证靠谱? 双因子认证或助黑客致富
大多数部署了2FA的公司,当用户在其官网上注册后,都会发送短信认证码对用户的真实性验明正身。当然,用户也可以选择接收这些公司的电话呼叫,让语音机器人告诉你认证码是什么。
支持Huawei Pay中国人自己PAY 首批支持:15家银行
Huawei Pay已经支持中国银行、中国工商银行、招商银行、平安银行、中国建设银行、中信银行、交通银行、北京银行、中国光大银行、华夏银行、浦发银行、上海银行、兴业银行、广发银行、中国民生银行等15家银行。不过在支持的银行列表当中并没有中国农业银行的身影,一些地区性银行以及国有股份制大行也已经完全支持。
移动支付三大标准规范出台 产业链将集体受益
在NFC受理端,NFC移动支付要求POS及支持非接触闪付功能,中国银联对于存量POS机改造和新增闪付POS机铺设,将催生大量POS机需求;此外,在NFC用户端,产业链涉及NFC天线、NFC移动支付智能卡、相关安全模组等,相关天线厂商、智能卡商、安全模组制造商将明显受益。
第三方支付账户实名新政加大防风险力度
随着互联网技术的快速迭代,第三方支付行业俨然成为了一个社会的底层架构,承担了一定程度的社会义务和职能,也为我国的金融科技创新做出了贡献。但其缺陷也清晰明了,基于小额支付的定位,我国第三方支付机构迅速集聚了规模化的存量用户。
注意!免费wifi成“黑客”窃取个人信息重要源头
非法获取的公民个人信息已经从简单的身份信息、电话号码、家庭地址等,扩展到手机通讯录和手机短信、网络账号和密码、银行账号和密码、购物记录、出行记录等,被侵害的人员涉及各地各行各业。
信息和技术
任正非:国外大老板成天打高尔夫 中国高管却疲惫不堪凭什么?
企业之间的竞争,说穿了是管理竞争。对于华为这样一个以人力资产为主的公司来说,规模经济性更要靠管理来实现。华为留给公司的财富只有两样:一是管理架构、流程与IT支撑的管理体系,二是对人的管理和激励机制。
安全漏洞周报
上周漏洞基本情况
上周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞201个,其中高危漏洞103个、中危漏洞83个、低危漏洞15个。漏洞平均分值为6.84分。上周收录的漏洞中,涉及0day漏洞23个(占11%)。其中互联网上出现“WECONLeviStudio堆缓冲区溢出漏洞、Apache struts2 devMode远程代码执行漏洞”等零日漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数419个,与之前一周(457个)环比下降8%。
上周重要漏洞信息
1、Microsoft产品安全漏洞
7月12日,微软发布了2016年7月份的月度例行安全公告,共含11项更新,修复了MicrosoftWindows、Internet Explorer、Edge、Office、Office Service、.NET Framework、Adobe FlashPlayer和Web Apps中存在的40个安全漏洞。其中,6项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。
CNVD收录的相关漏洞包括:Microsoft脚本引擎内存破坏漏洞(CNVD-2016-04792)、MicrosoftWindows Win32k权限提升漏洞(CNVD-2016-04745、CNVD-2016-04746)、MicrosoftWindows打印后台处理程序远程执行代码漏洞、MicrosoftInternet Explorer内存破坏漏洞(CNVD-2016-04805、CNVD-2016-04806、CNVD-2016-04844、CNVD-2016-04843)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Google产品安全漏洞
Android on Nexus 5是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套运行于Nexus 5(智能手机)中并以Linux为基础的开源操作系统。Qualcomm是使用在其中的一个美国高通(Qualcomm)公司的设备专用的高通组件。上周,上述产品被披露存在提权漏洞,攻击者可利用漏洞获取特权。
CNVD收录的相关漏洞包括:AndroidQualcomm组件提权漏洞(CNVD-2016-04846、CNVD-2016-04847、CNVD-2016-04848、CNVD-2016-04849、CNVD-2016-04850、CNVD-2016-04851、CNVD-2016-04852、CNVD-2016-04853)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、Adobe产品安全漏洞
Adobe Reader等都是美国奥多比(Adobe)公司的产品。Adobe Reader是一款免费的PDF文件阅读器;Acrobat是一款PDF文件编辑和转换工具;Acrobat ReaderDC是一套用于查看、打印和批注PDF的工具。Classic和Continuous是Acrobat ReaderDC产品下载中心所提供的两种更新机制。Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。上周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:多款Adobe产品内存破坏漏洞(CNVD-2016-04794、CNVD-2016-04796、CNVD-2016-04797、CNVD-2016-04798、CNVD-2016-04799、CNVD-2016-04800、CNVD-2016-04801)、Adobe FlashPlayer内存破坏漏洞(CNVD-2016-04757)等。其中,“Adobe FlashPlayer内存破坏漏洞(CNVD-2016-04757)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、IBM产品安全漏洞
IBM Security IdentityManager(ISIM)是美国IBM公司的一套身份管理和治理解决方案。IBM JazzReporting Service是IBM Rational Reporting for DevelopmentIntelligence的可选组件。上周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞获取权限、泄露敏感信息和实施跨站脚本攻击等。
CNVD收录的相关漏洞包括:IBM SecurityIdentity Manager权限获取漏洞、IBM Security Identity Manager信息泄露漏洞、IBM SecurityIdentity Manager用户伪造漏洞、IBM Security Identity Manager设计漏洞、IBM JazzReporting Service (JRS)跨站请求伪造漏洞、IBM Jazz ReportingService (JRS)跨站脚本漏洞(CNVD-2016-04651、CNVD-2016-04650)、IBM JazzReporting Service (JRS)跨站脚本漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Apache struts2devMode远程代码执行漏洞
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。上周,Apache被披露存在远程代码执行漏洞。允许攻击者利用漏洞远程执行任意命令。目前,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。
专家点评和建议
中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:7月12日,微软发布了2016年7月份的月度例行安全公告,共含11项更新,修复了Microsoft Windows、Internet Explorer、Edge、Office、Office Service、.NET Framework、Adobe Flash Player和Web Apps中存在的40个安全漏洞。其中,6项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。此外,Google、Adobe、IBM等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获得敏感信息、实施跨站脚本攻击、执行任意代码或发起拒绝服务攻击等。另外,Apache被披露存在远程代码执行漏洞。允许攻击者利用漏洞远程执行任意命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。 (韩希宇)