机构发布网络安全报告 预测四大安全挑战

专题库
韩希宇 来源:中国电子银行网 2018-02-09 10:08:29 网络安全报告 信息安全

核心提示对于区块链中的共识算法,是否能实现并保障真正的安全,需要更严格的证明和时间的考验。采用的非对称加密算法可能会随着数据、密码学和计算技术的发展而变得越来越脆弱,未来可能具有一定的破解性。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞382个,互联网上出现“MASTER IPCAMERA01硬编码漏洞、ZyXEL P-660HW拒绝服务漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  2017年中国网络安全报告

机构发布网络安全报告 预测四大安全挑战

  致使大半个美国断网的Mirai,以DVR设备为目标的Amnesia,感染家庭路由器用来“挖矿”的Darlloz等病毒都将矛头指向了这些脆弱的IoT设备。2017年9月出现的IoT_reaper不但可以通过设备的弱口令还能通过设备所曝出来的漏洞进行攻击,这种传播手段将愈加流行。>>详细

  上海某公立医院HIS系统被黑 被勒索2亿“以太币”

机构发布网络安全报告 预测四大安全挑战

  医疗数据在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。这些信息不光能在黑市上卖个好价钱、供人盗用身份,还能让人非法获取处方药、甚至骗取保险。>>详细

  我国首次实现脉冲数最小、安全距离最长新型量子密钥

机构发布网络安全报告 预测四大安全挑战

  这一新颖的安全性证明在物理上理清了RRDPS协议的安全性机制,显著地提升了RRDPS的性能,并为其他高维QKD协议的安全性证明给出了新的思路。仿真计算表明,RRDPS协议的密钥率和安全距离等关键指标都有了显著的提高,且其所需的脉冲分组数L相对于原始协议大大减少。>>详细

  技术观澜

  如何用WINDOWS事件查看器检测传递哈希

机构发布网络安全报告 预测四大安全挑战

  Windows操作系统存储来自用户密码的不同类型的散列,以允许访问不同的服务,而不需要重新输入密码。其中一种散列类型是密码的MD4散列,也称为NTLM散列。NTLM协议使用NT哈希进行身份验证,并不会使用“明文密码”,这意味着如果抓取HASH值,则可以在不知道实际密码的情况下进行身份验证。>>详细

  几种常见远程访问策略详解

机构发布网络安全报告 预测四大安全挑战

  在Windows中就有两个值得注意的远程访问策略,它们都会对隐藏攻击行为产生影响。这两个远程访问策略分别是用户帐户控制(UAC)和用户权限分配(URA)。由于它们的配置不同,所以如果操作不当,模拟攻击就会被检测到,这种远程访问策略可以在本地执行或远程执行中被用到。>>详细

  乱点网页上的Flash Player 升级链接?小心变成黑客的免费挖矿机

机构发布网络安全报告 预测四大安全挑战

  如果你的电脑曾经被感染或帮助过某个电脑被广告软件感染的人,肯定清楚一点,那就是你的浏览器会被重新定向到那些伪装成 Flash Player 升级页面的网站。如果你点了升级,就中招了。这些网站会给你推送各种广告软件,这些软件还会绑定人见人烦的“全家桶”程序。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年01月29日-2018年02月04日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞382个,其中高危漏洞101个、中危漏洞244个、低危漏洞37个。漏洞平均分值为5.75。上周收录的漏洞中,涉及0day漏洞64个(占17%),其中互联网上出现“MASTER IPCAMERA01硬编码漏洞、ZyXEL P-660HW拒绝服务漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  PHP GD Graphics Library拒绝服务漏洞

  PHP是一种通用开源脚本语言。GD Graphics Library(又名libgd或libgd2)是一个开源的用于动态创建图像的库。上周,该产品被披露存在拒绝服务漏洞,攻击者可通过特制的GIF文件利用该漏洞造成拒绝服务(无限循环)。

  CNVD收录的相关漏洞包括:PHP GDGraphics Library拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Oracle产品安全漏洞

  Oracle MySQL是美国甲骨文(Oracle)公司的一个小型关系型数据库管理系统。Oracle Java SE是一套标准版Java平台。Oracle SunSystems Products Suite是Sun系统产品包。上周,上述产品被披露存在未明漏洞,攻击者可利用该漏洞影响机密性、完整性和可用性。

  CNVD收录的相关漏洞包括:Oracle MySQLServer存在未明漏洞(CNVD-2018-02156、CNVD-2018-02163、CNVD-2018-02166、CNVD-2018-02165)、Oracle Java SE存在未明漏洞(CNVD-2018-02254、CNVD-2018-02255)、Oracle SunSystems Products Suite存在未明漏洞(CNVD-2018-02523、CNVD-2018-02527)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Mozilla产品安全漏洞

  Mozilla Firefox和Firefox ESR都是美国Mozilla基金会开发的浏览器产品。上周,上述产品被披露存在内存破坏和内存错误引用漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:Mozilla Firefox和Firefox ESR内存破坏漏洞(CNVD-2018-02635)、MozillaFirefox内存破坏漏洞(CNVD-2018-02636)、Mozilla Firefox和Firefox ESR内存错误引用漏洞(CNVD-2018-02637、CNVD-2018-02639、CNVD-2018-02640、CNVD-2018-02641、CNVD-2018-02644、CNVD-2018-02645)。其中“MozillaFirefox和Firefox ESR内存破坏漏洞(CNVD-2018-02635)、MozillaFirefox内存破坏漏洞(CNVD-2018-02636)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  IBM产品安全漏洞

  IBM Remote Control是美国IBM公司的一款远程控制管理程序,IBM MQ是一款消息传递中间件产品,IBM RationalDOORS一套用于捕获、跟踪、分析和管理需求的软件,IBM Tealeaf Customer Experience是一套基于SaaS的网络和移动应用分析解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取系统的访问权限或向Web UI注入任意的JavaScript脚本。

  CNVD收录的相关漏洞包括:IBM RemoteControl权限提升漏洞、IBM MQ service trace模块权限提升漏洞、IBM RationalDOORS Web Access跨站脚本漏洞(CNVD-2018-02501、CNVD-2018-02502、CNVD-2018-02503)、IBM RationalDOORS Web Access凭证存储漏洞、IBM Tealeaf Customer Experience会话漏洞、IBM Tealeaf CustomerExperience硬编码证书漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Nari PCS-9611 relay输入验证漏洞

  Nari PCS-9611 relay是中国国电南瑞(Nari)公司的一款线路保护测控设备。上周,Nari被披露存在输入验证漏洞,攻击者可利用漏洞任意读取/访问系统资源。目前,厂商尚未发布漏洞修补程序。

  小结

  上周,PHP GD Graphics Library拒绝服务漏洞,攻击者可通过特制的GIF文件利用该漏洞造成拒绝服务。此外,Oracle、Mozilla、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码、发起拒绝服务攻击或获取权限等。另外,Nari PCS-9611被披露存在输入验证漏洞,攻击者可利用漏洞任意读取/访问系统资源。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、雷锋网、科技日报、FreebuF.COM、嘶吼RoarTalk报道

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        财源源二维码
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 外汇 | 品途网