国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞157个,互联网上出现“CERIODT-100G-N/DT-300N/CW-300N存在多个漏洞、D-Link DIR-600M身份验证绕过漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
5个问题快速读懂今起实施的《网络安全法》
网络产品和服务提供者的安全义务,以及网络运营者的安全义务都是对企业安全提出的要求,或者说对互联网及有互联网业务的企业而言提出了基本的安全需求。比如对企业安全资质、内部技术、安全制度作具体规定。>>详细
安全厂商发布金融威胁综述分析报告
金融风暴仍然是有利可图的,因此在网络罪犯中继续受到欢迎。从攻击网上银行的金融特洛伊木马,对ATM的攻击,销售点(POS)机器和欺诈性的同业间交易来说,犯罪分子有许多不同的攻击方式。>>详细
Chrome漏洞可致恶意站点在用户在不知情的情况下录制音频和视频
HTML5中的新API让网站可以直接从浏览器获取视频和音频。通过WebRTC协议,浏览器不需要安装插件就能向网站提供麦克风录音及摄像头视频。为了保护隐私让用户免于被窃听的困扰,浏览器的开发者们使用了两个办法。>>详细
网络战争法则塔林手册推出2.0版本
随着魔窟(WannaCry)和使用网络攻击干涉国家政治等事件使世界各地变得混乱,针对网络空间法律法规的书籍“塔林手册”2.0的出版显得十分及时。>>详细
技术观澜
电子支付领域密码算法与安全技术趋势研究
电子支付在金融活动中占据越来越重要的位置,并呈现爆发性增长趋势,而随着电子支付带来的新的特殊属性与计算机技术的升级,使电子支付系统面临着攻击频率更高、破坏性更大、影响范围更广等诸多安全威胁。>>详细
车网互联下的汽车信息安全防护技术与实践
车联网的发展被提升至国家战略层面的高度,汽车的网络化、智能化、交互化程度逐步提高,人们对于网联汽车的认知度越来越高,对车联网的应用产生了认同感。而利用车联网的漏洞,对行驶中的汽车实施攻击的事件也层出不穷。>>详细
6大原因令芯片成黑客攻击新目标
最近的英特尔固件漏洞反映出一个事实:固件和芯片也能被黑。它们,或者说与之相关的控制芯片,像软件一样包含有带脆弱安全漏洞的指令。而且,固件和芯片更难以更新。>>详细
安全威胁播报
上周漏洞基本情况
上周(2017年05月29日-2017年06月04日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞157个,其中高危漏洞54个、中危漏洞95个、低危漏洞8个。漏洞平均分值为6.23。上周收录的漏洞中,涉及0day漏洞16个(占10%),其中互联网上出现“CERIODT-100G-N/DT-300N/CW-300N存在多个漏洞、D-Link DIR-600M身份验证绕过漏洞”等零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数766个,与上周(561)环比增长37%。
上周重要漏洞安全告警
Apple产品安全漏洞
Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器;tvOS是一套智能电视操作系统。WebKit是KDE社区开发的一套开源Web浏览器引擎;watchOS是一套智能手表操作系统;AVEVideoEncoder是其中的一个视频编码器。上周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意的代码或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:多款Apple产品WebKit组件内存破坏漏洞(CNVD-2017-07721、CNVD-2017-07722、CNVD-2017-07723、CNVD-2017-07724、CNVD-2017-07725)、多款Apple产品AVEVideoEncoder组件内存破坏漏洞(CNVD-2017-07726、CNVD-2017-07727、CNVD-2017-07728)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Cisco产品安全漏洞
Cisco Remote ExpertManager Software是美国思科(Cisco)公司的的一款远程管理软件,Cisco PrimeCollaboration是综合性视频及声音服务保障及管理系统。上周,上述产品被披露存在目录遍历、拒绝服务和信息泄露漏洞,攻击者可利用漏洞泄露敏感信息或发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Cisco PrimeCollaboration Provisioning目录遍历漏洞、Cisco Prime Collaboration Provisioning目录遍历任意文件删除漏洞、Cisco RemoteExpert Manager拒绝服务漏洞、Cisco Remote Expert Manager临时文件信息泄露漏洞、Cisco RemoteExpert Manager信息泄露漏洞、Cisco Remote Expert Manager信息泄露漏洞(CNVD-2017-08157、CNVD-2017-08155)、Cisco RemoteExpert Manager虚拟目标信息泄露漏洞。其中“Cisco Prime Collaboration Provisioning目录遍历漏洞、Cisco PrimeCollaboration Provisioning目录遍历任意文件删除漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Oracle产品安全漏洞
Oracle PeopleSoftProducts是美国甲骨文(Oracle)公司的一套企业人力资本管理解决方案。Oracle HospitalityApplications是一套用于酒店管理的业务应用程序、服务器和存储解决方案。Oracle UtilitiesApplications是一套为电气、燃气和水务等公司提供运营应用和云服务的解决方案。Oracle CommunicationsSecurity Gateway为语音和数据的传输提供安全保障。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的完整性、保密性和可用性。
CNVD收录的相关漏洞包括:OracleAutomatic Service Request本地漏洞(CNVD-2017-08075)、OracleCommunications Security Gate way远程漏洞、Oracle Hospitality OPERA 5 PropertyServices远程漏洞(CNVD-2017-08076、CNVD-2017-08077)、OraclePeopleSoft Enterprise SCM Service Procurement远程漏洞、OraclePeopleSoft Products PeopleSoft Enterprise SCM Purchasing远程漏洞、OracleReal-Time Scheduler远程漏洞。其中“Oracle Automatic ServiceRequest本地漏洞(CNVD-2017-08075)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Trend MicroDeep Security存在多个漏洞
Trend Micro Deep Security是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息,提升权限或执行任意代码。
CNVD收录的相关漏洞包括:Trend MicroDeep Security存在多个漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
WordPress Powerplay Gallery插件文件上传漏洞
WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,WordPress被披露存在文件上传漏洞,攻击者可利用漏洞创建任意目录。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结
上周,Apple被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意的代码或发起拒绝服务攻击。此外,Cisco 、Oracle、Trend Micro等多款产品被披露存在多个漏洞,攻击者利用漏洞可执行任意代码、泄露敏感信息、提升权限或发起拒绝服务攻击等。另外,Wordpress被披露存在文件上传漏洞,攻击者可利用漏洞创建任意目录。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合FreebuF.COM、移动支付网、51CTO、安全牛报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。