• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    安全单元SE将成移动金融产业创新风口

    韩希宇 来源:中国电子银行网 2017-04-28 10:34:00 移动金融 安全 金融安全
    韩希宇     来源:中国电子银行网     2017-04-28 10:34:00

    核心提示报告显示,2016年全球智能手机出货量15亿,国内手机出货量5亿,TEE已全面装备到智能手机中。融合SE+TEE的终端安全方案得到了相关监管机构的认可,2017年有望成为智能终端的标准配置。

      中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞491个,互联网上出现“ZyXEL EMG2926路由器远程命令执行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜和月末大讲堂,深入探讨信息安全知识。

      一周行业要闻速览

      移动金融产业年报(2016)透露了哪些重要信息?

    安全单元SE将成移动金融产业创新风口

      报告显示,2016年全球智能手机出货量15亿,国内手机出货量5亿,TEE已全面装备到智能手机中。融合SE+TEE的终端安全方案得到了相关监管机构的认可,2017年有望成为智能终端的标准配置。>>详细

      《2016年我国互联网网络安全态势综述》报告发布

    安全单元SE将成移动金融产业创新风口

      2016年态势报告全文主要包括三大部分,一是2016年我国互联网网络安全监测数据分析,包括木马和僵尸网络、移动互联网安全、拒绝服务攻击、安全漏洞、网站安全五个方面网络安全宏观监测数据情况;二是2016年我国互联网网络安全状况,分析了域名系统安全、工控系统、智能设备、移动互联网、APT攻击、敲诈勒索软件等方面表现出的新特点。>>详细

      启明星辰ADLab勒索软件专题报告

    安全单元SE将成移动金融产业创新风口

      纵观过去一年国内外网络勒索事件,可以看到,勒索软件在运行模式、加密技术等方面不断创新和改进,攻击目标从医疗、交通、政府、酒店等行业,开始出现向IOT、工控,以及公有云领域扩展的趋势。另外,趋势科技2016 年度安全报告显示,新勒索软件家族的数量仅2016 年就增加了752%。>>详细

      微软改进双因素验证 转变为无密码手机验证登录

    安全单元SE将成移动金融产业创新风口

      最近,这款应用在微软账号上推出了新功能:不用填写密码,使用手机验证就能登录。启用手机验证后,(网页端)输入微软账号,你将在手机上收到登录提醒。你可以选择批准直接登录,或者拒绝登录。>>详细

      赛门铁克发现Hajime蠕虫软件与Mirai争夺物联网控制权

    安全单元SE将成移动金融产业创新风口

      蠕虫制造者可随时在网络中的任意受感染设备打开Shell脚本。由于该蠕虫使用了模块化代码,因此设计者可随时添加新的功能。从Hajime的代码可明显看出,设计者对该蠕虫病毒进行深入的开发与设计。>>详细

      技术观澜

      深入了解恶意软件如何滥用TeamViewer?

    安全单元SE将成移动金融产业创新风口

      如果TeamSpy成功感染了用户,则不会显示任何内容,因为所有操作都是在后台运行的,因此攻击目标不会注意到安装了TeamViewer。这是通过挂接许多API函数并改变其行为来实现的。TeamSpy挂接了以下近50种不同的API。>>详细

      如何使用加密的Payload来识别并利用SQL注入漏洞?

    安全单元SE将成移动金融产业创新风口

      不可否认,密码学具有各种各样的优点,比如信息的机密性,但是对于密码过分的依赖,利用其保护应用程序俨然是一个坏主意。在这篇文章中我们app安全的首席培训师森尔·亚达夫,将针对一个案例进行研究,其中有一个SQL注入漏洞是通过加密的payload来进行识别和利用的。>>详细

      月末大讲堂

      验证码安全那些事

    安全单元SE将成移动金融产业创新风口

      最近在研究验证码安全,本文主要分析四种流行的验证码(图形,短信,语音和滑动)进行分析,写这篇文章的出发点并非是绕过或破解验证码,而是根据自身业务情况来选择对应的验证码类型,在用户体验和安全性中找到属于自己的平衡点。>>详细

      安全威胁播报

      上周漏洞基本情况

      上周信息安全漏洞威胁整体评价级别为中。

      国家信息安全漏洞共享平台(以下简称CNVD)上周(2017-04-17--2017-04-23)共收集、整理信息安全漏洞491个,其中高危漏洞188个、中危漏洞260个、低危漏洞43个。漏洞平均分值为6.25。上周收录的漏洞中,涉及0day漏洞83个(占17%),其中互联网上出现“ZyXEL EMG2926路由器远程命令执行漏洞、EyesOfNetwork存在未明SQL注入漏洞”零日代码攻击漏洞。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数661个,与上周(597个)环比增长11%。

      上周重要漏洞安全告警

      Jackson框架存在Java反序列化代码执行漏洞

      Jackson是一个开源的java序列化与反序列化工具。上周,该产品被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞在服务器主机上执行任意代码或系统指令,取得网站服务器的控制权。CNVD收录的相关漏洞包括:Jackson框架enableDefaultTyping方法反序列化漏洞。该漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Adobe产品安全漏洞

      Adobe Acrobat和Reader是美国Adobe公司开发的一款可以用便携式文档格式出版所有的文档的编辑软件。上周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞控制受影响的系统,执行任意代码。

      CNVD收录的相关漏洞包括:Adobe Acrobat和Reader内存破坏漏洞(CNVD-2017-04690、CNVD-2017-04691、CNVD-2017-04692、CNVD-2017-04693、CNVD-2017-04694、CNVD-2017-04695、CNVD-2017-04696、CNVD-2017-04697)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Google产品安全漏洞

      Google Android是一款基于Linux开放性内核的手机操作系统。上周,该产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。

      CNVD收录的相关漏洞包括:Google AndroidBroadcom Wi-Fi Driver权限提升漏洞(CNVD-2017-04965、CNVD-2017-04966、CNVD-2017-04967、CNVD-2017-04968、CNVD-2017-04969、CNVD-2017-04576、CNVD-2017-04578、CNVD-2017-04579)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Huawei产品安全漏洞

      华为Tecal RH1288V2等都是中国华为(Huawei)公司的服务器。华为Campus S7700等都是企业级园区交换机。华为HiSuite是一套用于PC端的手机助手软件。HuaweiVicky-AL00A/Victoria-AL00A是一款智能手机。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制、执行任意代码和发起拒绝服务攻击等。

      CNVD收录的相关漏洞包括:多款华为服务器缓冲区溢出漏洞、华为CampusS7700/S9300/S9700交换机安全绕过漏洞、华为Campus系列交换机堆缓冲区溢出漏洞、华为交换机Y.1731拒绝服务漏洞、华为HiSuite中间人攻击漏洞、华为手机Bastet组件存在多个缓冲区溢出漏洞(CNVD-2017-04679、CNVD-2017-04678)、华为手机Bastet组件存在多个缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Linksys Smart Wi-Fi Routers命令注入漏洞

      Linksys Smart Wi-Fi Routers是智能Wi-Fi路由器。上周,Linksys Smart Wi-Fi Routers被披露存在命令注入漏洞,攻击者通过设备认证可以以root权限在设备的操作系统上注入和执行恶意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

      更多高危漏洞如下表所示,详细信息可根据CNVD编号,在CNVD官网进行查询。

    安全单元SE将成移动金融产业创新风口

      小结

      上周,Jackson被披露存在Java反序列化代码执行漏洞,攻击者可利用漏洞在服务器主机上执行任意代码或系统指令。此外,Adobe、Google、Huawei等多款产品被披露存在多个漏洞,攻击者利用漏洞可执行任意代码、绕过安全限制、提升权限或发起拒绝服务攻击等。另外,Linksys Smart Wi-FiRouters被披露存在命令注入漏洞,攻击者通过设备认证可以root权限在设备的操作系统上注入和执行恶意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

      (中国电子银行网综合移动支付网、CNCERT、启明星辰ADLab、嘶吼RoarTalk、安全牛、AE科学社、黑吧安全网、红黑联盟报道)  

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定