• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    应对信息安全风险的防守端新启示

    韩希宇 来源:中国电子银行网 2017-10-13 10:43:01 信息安全 金融安全
    韩希宇     来源:中国电子银行网     2017-10-13 10:43:01

    核心提示近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛,因此漏洞带来的安全危害非同一般。

      国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞328个,互联网上出现“ZTE Datacard MF190权限提升漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

      一周行业要闻速览

      Intel芯片架构中TEE的实现技术之SGX初探

    应对信息安全风险的防守端新启示

      SGX最早在2013年推出,主要是在计算机平台上提供一个可信的空间(TEE),保障用户关键代码和数据的机密性和完整性 。>>详细

      开源软件安全现状分析报告

    应对信息安全风险的防守端新启示

      开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛,因此漏洞带来的安全危害非同一般。>>详细

      技术观澜

      网联架构设计的四个关键选择

    应对信息安全风险的防守端新启示

      如何在这么短的时间里,从无到有地建设一个高质量的金融市场基础设施,成为网联建设者们必须要解决的一个问题。打仗时,兵马未动,粮草先行,反映在平台建设上就是架构先行。>>详细

      从两次勒索病毒爆发聊聊计算机安全重要性

    应对信息安全风险的防守端新启示

      即便Windows 10系统相对来说已经更为安全,但是经过今年这两次全球范围的勒索病毒爆发事件,一方面我们不得不承认,系统的安全与威胁往往只隔着一层纱,或许一封伪装过的电子邮件就可以将其轻易戳破。>>详细

      一个冷门类型混淆漏洞CVE-2017-0213的技术分析

    应对信息安全风险的防守端新启示

      “天下漏洞,唯冷不破”。CVE-2017-0213的无论从挖掘和利用,感觉都有些剑走偏锋,正属于这种比较冷门的一类。这种漏洞似乎难以通过fuzzing的方式来发现。通常这种漏洞的发现,需要对Windows的代码非常熟悉。>>详细

      大量最新苹果Mac仍可通过EFI固件漏洞入侵

    应对信息安全风险的防守端新启示

      EFI的运行优先于macOS操作系统的启动,并且EFI拥有更高等级的权限。如果攻击者可以利用EFI固件漏洞的话,他们将能够利用EFI恶意软件来控制目标计算机,而且还不会被安全防护产品所检测到。>>详细

      安全威胁播报

      上周漏洞基本情况

      上周(2017年09月25日-2017年10月08日)信息安全漏洞威胁整体评价级别为中。

      国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞328个,其中高危漏洞119个、中危漏洞184个、低危漏洞25个。漏洞平均分值为6.10。上周收录的漏洞中,涉及0day漏洞60个(占18%),其中互联网上出现“ZTE Datacard MF190权限提升漏洞”零日代码攻击漏洞。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数2028个。

      上周重要漏洞安全告警

      Microsoft产品安全漏洞

      Microsoft Windows 10是美国微软(Microsoft)公司发布的一套操作系统。Microsoft Edge是其中的一款系统附带的Web浏览器。上周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。

      CNVD收录的相关漏洞包括:Microsoft Edge内存破坏漏洞(CNVD-2017-28323、CNVD-2017-28324、CNVD-2017-28646、CNVD-2017-28647、CNVD-2017-28650、CNVD-2017-28651、CNVD-2017-28652、CNVD-2017-28654)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Tcpdump产品安全漏洞

      Tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。BGP parser是其中的一个边界网关协议解析器。IPv6 mobilityparser是其中的一个IPv6 mobility解析器。ISO IS-IS parser是其中的一个路由协议解析器。上周,该产品被披露存在堆缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

      CNVD收录的相关漏洞包括:Tcpdump BGP解析器缓冲区溢出漏洞(CNVD-2017-28240、CNVD-2017-28247、CNVD-2017-28250)、Tcpdump IPv6mobility解析器缓冲区溢出漏洞(CNVD-2017-28284、CNVD-2017-28285)、Tcpdump ISOIS-IS解析器缓冲区溢出漏洞、Tcpdump ISO IS-IS解析器缓冲区溢出漏洞(CNVD-2017-28238、CNVD-2017-28274)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Oracle产品安全漏洞

      Oracle PeopleSoftProducts是美国甲骨文公司的一套企业人力资本管理解决方案。Java SE是用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序,Java SEEmbedded是一款针对嵌入式系统开发功能的应用程序的Java平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞未授权读取、更新、插入或删除数据,影响数据的保密性、可用性和完整性。

      CNVD收录的相关漏洞包括:Oracle Java SE和Java SEEmbedded存在未明漏洞(CNVD-2017-28398、CNVD-2017-28399、CNVD-2017-28400、CNVD-2017-28402、CNVD-2017-28403)、OraclePeopleSoft Enterprise PRTL Interaction Hub未授权操作漏洞(CNVD-2017-28221、CNVD-2017-28370、CNVD-2017-28378)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Adobe产品安全漏洞

      Adobe Experience Manager是美国Adobe公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。Adobe Reader是PDF文档阅读软件。Acrobat是PDF文档编辑软件。Adobe FlashPlayer是一款跨平台、基于浏览器的多媒体播放器产品。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码或发起拒绝服务攻击等。

      CNVD收录的相关漏洞包括:AdobeAcrobat/Reader安全绕过漏洞(CNVD-2017-28430)、Adobe Acrobat/Reader内存破坏漏洞(CNVD-2017-28443)、AdobeAcrobat/Reader远程代码执行漏洞(CNVD-2017-28431、CNVD-2017-28433、CNVD-2017-28434、CNVD-2017-28435)、AdobeExperience Manager任意代码执行漏洞、Adobe Flash Player类型混淆远程执行代码漏洞。除“AdobeAcrobat/Reader安全绕过漏洞(CNVD-2017-28430)、Adobe Acrobat/Reader内存破坏漏洞(CNVD-2017-28443)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      finecms SQL注入漏洞(CNVD-2017-28415)

      FineCMS是一款基于PHP+MySql+CI框架开发的建站系统。上周,FineCMS被披露存在SQL注入漏洞,远程攻击者可利用漏洞操作网站数据库。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

      小结

      上周,Microsoft被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。此外,Tcpdump、Oracle、Adobe多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码或发起拒绝服务攻击等。另外,FineCMS被披露存在SQL注入漏洞,远程攻击者可利用漏洞操作网站数据库。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

      中国电子银行网综合金融电子化、FreeBuf.COM、中关村在线、兰云科技银河实验室、微信公众号“安智客”报道  

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定