技术创新与监管完善驱动移动支付安全发展

专题库
韩希宇 来源:中国电子银行网 2017-11-03 09:40:35 移动支付安全 信息安全

核心提示几年前,业内还在争论移动支付的技术标准、可用方案和发展前景;现在,HCE技术、条码技术的发展有效降低了移动支付应用门槛,支付标记化技术(Token)的应用提升了支付信息安全保障。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞482个,互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  FireEye在GitHub上开源密码破解工具GoCrack

技术创新与监管完善驱动移动支付安全发展

  考虑到密码的敏感性,GoCrack 使用了授权系统,可防止用户访问任务数据,而一些敏感操作,如修改任务,查看破解密码,下载任务文件等都可以被记录下来,并供管理员审核。>>详细

  央行支付司司长谢众:“无卡”支付时代的几点监管意见

技术创新与监管完善驱动移动支付安全发展

  无论形式如何纷繁复杂,无卡支付始终不会脱离交易发起、传输、清算、结算等核心环节,银行卡作为账户载体的本质和其背后成熟的产业基础优势依然存在。>>详细

  清华教授谢平:金融大数据基础完备 人工智能应用于金融监管远景宏大

技术创新与监管完善驱动移动支付安全发展

  预警可能是人工智能在金融监管领域当中突破的第一个环节,当人工智能发现我们的金融机构出现风险征兆的时候,会主动预警、提醒。>>详细

  技术观澜

  软件安全构建成熟度模型演变与分析

技术创新与监管完善驱动移动支付安全发展

  软件安全开发主要是从生命周期的角度,对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结,通过采取各种安全活动来保证尽可能得到安全的软件。>>详细

  GP TEE中的几种存储方式介绍

技术创新与监管完善驱动移动支付安全发展

  我们知道TEEOS最重要的功能莫过于安全存储了,这是一切安全的前提,根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS安全存储。>>详细

  针对近期某款POS机攻击案例分析及建议

技术创新与监管完善驱动移动支付安全发展

  相对IC卡来说,磁条卡本身防护程度较低,磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡,因为IC卡较磁条卡更难被复制,即使芯片卡中的数据泄露,也很难直接用于制造伪卡。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2017年10月23日-2017年10月29日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞482个,其中高危漏洞127个、中危漏洞326个、低危漏洞29个。漏洞平均分值为5.82。上周收录的漏洞中,涉及0day漏洞103个(占21%),其中互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数853个,与前周(635个)环比增长34%。

  上周重要漏洞安全告警

  Google产品安全漏洞

  Android是美国谷歌公司开发的一套以Linux为基础的开源操作系统。Mediaframework(libhevc)是其中的一个用于多媒体开发的hevc解码库。上周,该产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

  CNVD收录的相关漏洞包括:Google AndroidMedia Framework远程代码执行漏洞(CNVD-2017-31360、CNVD-2017-31361、CNVD-2017-31362、CNVD-2017-31363、CNVD-2017-31364、CNVD-2017-31365、CNVD-2017-31366、CNVD-2017-31367)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Oracle产品安全漏洞

  Oracle E-Business Suite是美国甲骨文公司的一套全面集成式的全球业务管理软件。OracleKnowledge Management是其中的一个知识管理组件。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。OracleWebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性。

  CNVD收录的相关漏洞包括:OracleKnowledge Management组件存在未明漏洞、Oracle KnowledgeManagement组件存在未明漏洞(CNVD-2017-31058、CNVD-2017-31059)、OracleWebLogic Server存在未明漏洞(CNVD-2017-31499、CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503)。除“OracleWebLogic Server存在未明漏洞(CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  D-Link产品安全漏洞

  D-Link DIR-850L REV.A和REV.B都是友讯(D-Link)公司的无线路由器产品。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、获取权限或执行任意代码。

  CNVD收录的相关漏洞包括:D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.A跨站脚本漏洞、D-LinkDIR-850L REV.A跨站脚本漏洞(CNVD-2017-31794、CNVD-2017-31795、CNVD-2017-31796)、D-LinkDIR-850L REV.B密码泄露漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞(CNVD-2017-31792)。其中,“D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞(CNVD-2017-31792)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  WordPress产品安全漏洞

  WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,改产品被披露存在SQL注入漏洞,攻击者可利用漏洞执行任意SQL命令。

  CNVD收录的相关漏洞包括:WordPresseventr 'event'参数SQL注入漏洞、WordPress eventr SQL注入漏洞、WordPress SQL注入漏洞(CNVD-2017-31384)、WordPressSupport Ticket System SQL注入漏洞、WordPress surveys 'action'变量SQL注入漏洞、WordPresssurveys SQL注入漏洞、WordPress surveys 'survey_id'变量SQL注入漏洞、WordPressWatuPRO SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Arris NVG599 AT&T U-verse ROOT获取漏洞

  Arris NVG599是美国Arris集团公司的一款路由器产品。上周,Arris被披露存在权限提升漏洞,远程攻击者可通过在49955端口上建立会话,并安装新软件利用该漏洞获取root权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

  小结

  上周,Google被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。此外,Oracle、D-Link、Wordpress等多款产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、提升权限或执行任意代码等。另外,Arris被披露存在权限提升漏洞,远程攻击者可通过在49955端口上建立会话,并安装新软件利用该漏洞获取root权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、FreeBuf.COM、中国信用卡、雷锋网、安智客、金融科技大讲堂报道  

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网