应对信息安全风险的防守端新启示

专题库
韩希宇 来源:中国电子银行网 2017-10-13 10:43:01 信息安全 信息安全

核心提示近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛,因此漏洞带来的安全危害非同一般。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞328个,互联网上出现“ZTE Datacard MF190权限提升漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  Intel芯片架构中TEE的实现技术之SGX初探

应对信息安全风险的防守端新启示

  SGX最早在2013年推出,主要是在计算机平台上提供一个可信的空间(TEE),保障用户关键代码和数据的机密性和完整性 。>>详细

  开源软件安全现状分析报告

应对信息安全风险的防守端新启示

  开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛,因此漏洞带来的安全危害非同一般。>>详细

  技术观澜

  网联架构设计的四个关键选择

应对信息安全风险的防守端新启示

  如何在这么短的时间里,从无到有地建设一个高质量的金融市场基础设施,成为网联建设者们必须要解决的一个问题。打仗时,兵马未动,粮草先行,反映在平台建设上就是架构先行。>>详细

  从两次勒索病毒爆发聊聊计算机安全重要性

应对信息安全风险的防守端新启示

  即便Windows 10系统相对来说已经更为安全,但是经过今年这两次全球范围的勒索病毒爆发事件,一方面我们不得不承认,系统的安全与威胁往往只隔着一层纱,或许一封伪装过的电子邮件就可以将其轻易戳破。>>详细

  一个冷门类型混淆漏洞CVE-2017-0213的技术分析

应对信息安全风险的防守端新启示

  “天下漏洞,唯冷不破”。CVE-2017-0213的无论从挖掘和利用,感觉都有些剑走偏锋,正属于这种比较冷门的一类。这种漏洞似乎难以通过fuzzing的方式来发现。通常这种漏洞的发现,需要对Windows的代码非常熟悉。>>详细

  大量最新苹果Mac仍可通过EFI固件漏洞入侵

应对信息安全风险的防守端新启示

  EFI的运行优先于macOS操作系统的启动,并且EFI拥有更高等级的权限。如果攻击者可以利用EFI固件漏洞的话,他们将能够利用EFI恶意软件来控制目标计算机,而且还不会被安全防护产品所检测到。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2017年09月25日-2017年10月08日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞328个,其中高危漏洞119个、中危漏洞184个、低危漏洞25个。漏洞平均分值为6.10。上周收录的漏洞中,涉及0day漏洞60个(占18%),其中互联网上出现“ZTE Datacard MF190权限提升漏洞”零日代码攻击漏洞。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2028个。

  上周重要漏洞安全告警

  Microsoft产品安全漏洞

  Microsoft Windows 10是美国微软(Microsoft)公司发布的一套操作系统。Microsoft Edge是其中的一款系统附带的Web浏览器。上周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。

  CNVD收录的相关漏洞包括:Microsoft Edge内存破坏漏洞(CNVD-2017-28323、CNVD-2017-28324、CNVD-2017-28646、CNVD-2017-28647、CNVD-2017-28650、CNVD-2017-28651、CNVD-2017-28652、CNVD-2017-28654)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Tcpdump产品安全漏洞

  Tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。BGP parser是其中的一个边界网关协议解析器。IPv6 mobilityparser是其中的一个IPv6 mobility解析器。ISO IS-IS parser是其中的一个路由协议解析器。上周,该产品被披露存在堆缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:Tcpdump BGP解析器缓冲区溢出漏洞(CNVD-2017-28240、CNVD-2017-28247、CNVD-2017-28250)、Tcpdump IPv6mobility解析器缓冲区溢出漏洞(CNVD-2017-28284、CNVD-2017-28285)、Tcpdump ISOIS-IS解析器缓冲区溢出漏洞、Tcpdump ISO IS-IS解析器缓冲区溢出漏洞(CNVD-2017-28238、CNVD-2017-28274)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Oracle产品安全漏洞

  Oracle PeopleSoftProducts是美国甲骨文公司的一套企业人力资本管理解决方案。Java SE是用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序,Java SEEmbedded是一款针对嵌入式系统开发功能的应用程序的Java平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞未授权读取、更新、插入或删除数据,影响数据的保密性、可用性和完整性。

  CNVD收录的相关漏洞包括:Oracle Java SE和Java SEEmbedded存在未明漏洞(CNVD-2017-28398、CNVD-2017-28399、CNVD-2017-28400、CNVD-2017-28402、CNVD-2017-28403)、OraclePeopleSoft Enterprise PRTL Interaction Hub未授权操作漏洞(CNVD-2017-28221、CNVD-2017-28370、CNVD-2017-28378)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Adobe产品安全漏洞

  Adobe Experience Manager是美国Adobe公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。Adobe Reader是PDF文档阅读软件。Acrobat是PDF文档编辑软件。Adobe FlashPlayer是一款跨平台、基于浏览器的多媒体播放器产品。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:AdobeAcrobat/Reader安全绕过漏洞(CNVD-2017-28430)、Adobe Acrobat/Reader内存破坏漏洞(CNVD-2017-28443)、AdobeAcrobat/Reader远程代码执行漏洞(CNVD-2017-28431、CNVD-2017-28433、CNVD-2017-28434、CNVD-2017-28435)、AdobeExperience Manager任意代码执行漏洞、Adobe Flash Player类型混淆远程执行代码漏洞。除“AdobeAcrobat/Reader安全绕过漏洞(CNVD-2017-28430)、Adobe Acrobat/Reader内存破坏漏洞(CNVD-2017-28443)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  finecms SQL注入漏洞(CNVD-2017-28415)

  FineCMS是一款基于PHP+MySql+CI框架开发的建站系统。上周,FineCMS被披露存在SQL注入漏洞,远程攻击者可利用漏洞操作网站数据库。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

  小结

  上周,Microsoft被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。此外,Tcpdump、Oracle、Adobe多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码或发起拒绝服务攻击等。另外,FineCMS被披露存在SQL注入漏洞,远程攻击者可利用漏洞操作网站数据库。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合金融电子化、FreeBuf.COM、中关村在线、兰云科技银河实验室、微信公众号“安智客”报道  

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网