• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    银联迭代支付安全标准 将融合生物识别

    韩希宇 来源:中国电子银行网综合 2017-02-07 10:20:34 信息安全 周报 原创新闻
    韩希宇     来源:中国电子银行网综合     2017-02-07 10:20:34

    核心提示银联3DS2.0标准是基于EMVCo 3DS2.0标准,并结合银联原型开发的在线支付身份验证服务;与3DS1.0版本相比,2.0版本不仅增加对移动端应用的支持,并可以与Token、指纹及人脸等生物识别技术相结合。

      中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞167个,互联网上出现“SamsungSmartcam 远程命令执行漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

      一周信息安全要闻速览

      人民银行支付结算司司长谢众:防范打击电信网络诈骗 保障客户资金安全

      互联网和信息技术在金融领域的融合运用,给支付体系带来了巨大的变化,支付体系的效率和便捷性不断提高,客户体验不断提升。但与此同时,支付体系的安全问题日益突出,监管工作面临新的挑战。>>详细

      欧洲移动支付服务商iZettle与银联国际宣布合作

      与Square采用的刷卡即付模式不同,iZettle采用的是在欧洲非常流行的芯片密码卡,卡主在进行支付时需要输入4位数的密码,iZettle认为这种支付方式更加安全。>>详细

      安全公司发现雄迈数字摄像机的主控口令“已泄露”

      一些私人社区或供应商辩称他们的设备仅仅用于局域网,但是这份文件显示它们会用于网络服务。被涉厂商没有公开确认问题,而只在私下里承认犯错。PTP公司拟定从中国引入一台摄像设备来透析此问题,但是错误显然已经酿成。>>详细

      手机“支付成功”是假的 小店多次被骗

      00后小侯最近发现了一个小秘密:无需绑定银行卡,手机钱包余额里也没有钱,只需要做一个小操作,就可以免费买东西。>>详细

      无需连接命令控制服务器的Spora有可能成为勒索软件之王

      安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。目前为止,该恶意软件针对的是俄语用户,但其作者也开发了英语版的解密门户,意味着他们有可能不久之后就将业务扩张到其他国家。>>详细

      银联3DS2.0标准立项并将送审 结合Token、生物识别技术

      银联3DS2.0标准是基于EMVCo 3DS2.0标准,并结合银联原型开发的在线支付身份验证服务;与3DS1.0版本相比,2.0版本不仅增加对移动端应用的支持,并可以与Token、指纹及人脸等生物识别技术相结合。>>详细

      安全漏洞周报

      上周漏洞基本情况

      上周信息安全漏洞威胁整体评价级别为中。

      上周共收集、整理信息安全漏洞167个,其中高危漏洞82个、中危漏洞78个、低危漏洞7个。漏洞平均分值为6.81。上周收录的漏洞中,涉及0day漏洞11个(占7%)。其中互联网上出现“SamsungSmartcam远程命令执行漏洞”零日代码攻击漏洞,请使用相关产品的用户注意加强防范。

      上周重要漏洞安全告警

      上周,整理和发布以下重要安全漏洞信息。

      1、Oracle 产品安全漏洞

      1月18日,Oracle 发布了2017年1月份的安全更新,修复了其多款产品存在的270个安全漏洞。受影响的产品包括Oracle数据库(2个)、Oracle SecureBackup(2个)、Oracle Big Data(1个);中间件产品FusionMiddleware(18个)、企业管理器网格控制产品Oracle Enterprise ManagerGrid Control(8个)、电子商务套装软件OracleE-Business Suite(121个)、供应链套装软件Oracle SupplyChain Products Suite(1个);PeopleSoft 产品(7个)、JDEdwards 产品(1个)、Oracle Siebel托管型CRM软件(3个)、OracleCommerce(1个)、Communications Applications(4个)、金融服务分析应用软件OracleFinancial Services Applications(37)、RetailApplications(8个)、Primavera产品(4个)、Java SE(17个)、Oracle Sun系统产品(4个)、Virtualization(4个)和MySQL数据库(27个)。本次安全更新提供了有252个漏洞可被远程利用。

      相关漏洞包括:OracleE-Business Suite远程安全漏洞(CNVD-2017-00639、CNVD-2017-00640、CNVD-2017-00641、CNVD-2017-00642、CNVD-2017-00643、CNVD-2017-00644、CNVD-2017-00645、CNVD-2017-00646)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      2、Google产品安全漏洞

      Android on Nexus 9是美国谷歌(Google)公司和开放手持设备联盟共同开发的一套运行于Nexus 9中并以Linux为基础的开源操作系统。NVIDIA cameradriver是使用在其中的一个摄像头驱动程序。上周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞执行任意代码。

      相关漏洞包括:Google Nexus NVIDIA GPU驱动权限提升漏洞、Google Nexus NVIDIA GPU 驱动权限提升漏洞(CNVD-2017-00469、CNVD-2017-00470、CNVD-2017-00471、CNVD-2017-00472、CNVD-2017-00473、CNVD-2017-00474、CNVD-2017-00475)等,上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      3、IBM产品安全漏洞

      IBM Kenexa LMS on Cloud是美国IBM公司的一套可配置的集成了社交网络、协作和知识分享功能的企业级社交学习管理系统 (LMS)。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞更改数据库信息、进行跨站脚本攻击或执行任意代码等。

      相关漏洞包括:IBM Kenexa LMSon Cloud SQL注入漏洞(CNVD-2017-00563、CNVD-2017-00564、CNVD-2017-00565)、IBM Kenexa LMSon Cloud跨站脚本漏洞(CNVD-2017-00561、CNVD-2017-00562)、IBM Kenexa LMSon Cloud目录遍历漏洞(CNVD-2017-00566、CNVD-2017-00567)、IBM Kenexa LMSon Cloud任意代码执行漏洞等。除“IBM Kenexa LMS on Cloud 跨站脚本漏洞(CNVD-2017-00561)、IBM Kenexa LMSon Cloud目录遍历漏洞(CNVD-2017-00566)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      4、Juniper Networks产品安全漏洞

      Juniper Junos是一套专用于该公司的硬件系统的网络操作系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击、泄露敏感信息或执行任意代码等。

      相关漏洞包括:Juniper Junos拒绝服务漏洞( CNVD-2017-00602 、CNVD-2017-00603、CNVD-2017-00604、CNVD-2017-00605)、Juniper Junos权限提升漏洞(CNVD-2017-00606)、Juniper Junos代码执行漏洞、Juniper Junos跨站脚本漏洞(CNVD-2017-00608)、Juniper JunosXML敏感信息泄露漏洞等。除“Juniper Junos拒绝服务漏洞(CNVD-2017-00603、CNVD-2017-00604)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      5、Apple Logic Pro X和GarageBand存在内存破坏漏洞

      Apple Logic Pro X是苹果官方推出的一款音乐制作编辑软件;GarageBand是苹果机器上的音乐演奏、合成、录制工具。上周,Apple被披露存在内存破坏漏洞。攻击者可以利用该漏洞执行任意代码。目前,厂商尚未发布该漏洞的修补程序。在此,提醒广大用户随时关注厂商主页,以获取最新版本。

      专家点评和建议

      中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:1月18日,Oracle发布了2017年1月份的安全更新,修复了其多款产品存在的270个安全漏洞。本次安全更新提供了有252个漏洞可被远程利用。此外,Google、IBM、JuniperNetworks等多款产品被披露存在多个漏洞,攻击者利用漏洞可执行任意代码、泄露敏感信息或发起拒绝服务攻击等。另外,Apple被披露存在内存破坏漏洞。攻击者可以利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    收藏成功

    确定