国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞597个,互联网上出现“Intelbras WRN 150安全绕过漏洞、Joomla! Quiz Deluxe组件SQL注入漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
还在担心WPA2?微软、谷歌、惠普、联想等科技巨头警告英飞凌芯片漏洞
研究员们发现并分析了多个领域中的脆弱密钥,包括电子公民文件、身份验证令牌、可信启动设备、软件包签名、TLS/HTTPS密钥和PGP。>>详细
欧洲爆发新勒索病毒 已扩散至多国
安全研究人士称,该勒索软件伪装成奥多比系统公司的Flash多媒体产品更新,一经下载就会试图在受害电脑所处的网络传播。>>详细
浅谈三星KNOX安全解决方案
Knox通过严格定义每一个进程允许的行为以及其能获取到的数据,从而保护应用和数据。这使得Knox系统能在一个可管理的容器里隔离、加密、保护数据。这一点应该是三星从android机制上进行的安全加强。也就是SElinux,这一做法android6.0后续版本也连续跟进了。>>详细
技术观澜
意法半导体将展示物联网支付技术和安全解决方案
意法半导体将聚焦四大领域:金融支付卡、身份识别卡、公交卡等智能卡解决方案;移动产品和穿戴设备SIM卡移动网安全解决方案和近距离通信(NFC)安全解决方案;产品验证,覆盖品牌保护、可信平台模块(TPM);强大的物联网安全验证解决方案;物联网和智能应用NFC/RFID解决方案。>>详细
能从银行卡中读出身份证号码 你信吗?
根据中国金融集成电路IC卡规范的交易流程别有用心的人可以使用POS对IC卡进行应用选择、应用初始化、读取应用数据步骤获得交互数据,而此步得到的TLV格式应用数据中就可能包含持卡人的身份证号。>>详细
WPA2密钥重装攻击原理分析
在WPA2中运用了丰富的密码手段,原因是无线信道的开放性必须有加密措施来保证传输过程的安全。握手协议则是通信双方互相进行一个身份确认的过程。>>详细
安全威胁播报
上周漏洞基本情况
上周(2017年10月16日-2017年10月22日)信息安全漏洞威胁整体评价级别为高。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞597个,其中高危漏洞114个、中危漏洞442个、低危漏洞41个。漏洞平均分值为5.44。上周收录的漏洞中,涉及0day漏洞190个(占32%),其中互联网上出现“Intelbras WRN 150安全绕过漏洞、Joomla! Quiz Deluxe组件SQL注入漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数635个,与前周(818个)环比下降22%。
上周重要漏洞安全告警
Wi-Fi Alliance产品安全漏洞
WPA(Wi-FiProtected Access)是一种保护无线电脑网络(Wi-Fi)安全的系统。上周,该产品被披露存在密钥重装漏洞,攻击者可利用漏洞任意数据包解密和注入,TCP连接劫持,HTTP内容注入或单播和组寻址帧的重放。
CNVD收录的相关漏洞包括:WPA2无线网络IGTK组密钥重装漏洞(CNVD-2017-30402、CNVD-2017-30403)、WPA2无线网络GTK组密钥重装漏洞、WPA2无线网络IGTK组密钥重装漏洞、WPA2无线网络PTK-TK加密密钥重装漏洞、WPA2无线网络PTK-TK加密密钥重装漏洞、WPA2无线网络STK密钥重装漏洞、WPA2无线网络TPK密钥重装漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Microsoft产品安全漏洞
Microsoft Windows Server2016等都是美国微软公司发布的操作系统。Internet Explorer(IE)是其中的一个浏览器。Microsoft Edge是内置于Windows 10版本中的网页浏览器。上周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Edge脚本引擎远程内存破坏漏洞(CNVD-2017-30539、CNVD-2017-30540、CNVD-2017-30541、CNVD-2017-30542、CNVD-2017-30543)、MicrosoftInternet Explorer Scripting内存破坏漏洞、Microsoft Internet Explorer内存破坏漏洞(CNVD-2017-30134、CNVD-2017-30137)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Oracle产品安全漏洞
Oracle HospitalityApplications是美国甲骨文公司的一套用于酒店管理的业务应用程序、服务器和存储解决方案。Hospitality Suite8是其中的一个高级客户管理组件。上周,该产品被披露存未明漏洞,攻击者可利用漏洞影响系统的机密性、完整性及可用性。
CNVD收录的相关漏洞包括:OracleHospitality Suite8存在未明漏洞(CNVD-2017-30879、CNVD-2017-30880、CNVD-2017-30881、CNVD-2017-30882、CNVD-2017-30883、CNVD-2017-30884、CNVD-2017-30885、CNVD-2017-30886)。其中,“OracleHospitality Suite8存在未明漏洞(CNVD-2017-30880、CNVD-2017-30881)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Huawei产品安全漏洞
Huawei FusionSphere和FusionSphereOpenStack(FSO)都是华为公司的产品,前者是基于OpenStack框架开发的云操作系统产品,后者是FusionSphere在ICT场景中的云平台软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、提升权限或插入恶意程序等。
CNVD收录的相关漏洞包括:HuaweiFusionSphere OpenStack鉴权不当漏洞、Huawei FusionSphere OpenStack鉴权不当漏洞(CNVD-2017-30767)、HuaweiFusionSphere OpenStack路径校验漏洞、Huawei FusionSphere OpenStack命令注入漏洞(CNVD-2017-30766、CNVD-2017-30901)、HuaweiFusionSphere OpenStack签名校验漏洞、Huawei FusionSphere OpenStack权限提升漏洞、HuaweiFusionSphere OpenStack信息泄露漏洞。除“Huawei FusionSphere OpenStack路径校验漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
Progea Movicon SCADA/HMI权限提升漏洞
Movicon是由意大利自动化软件供应商PROGEA公司开发的(Scada/HMI)工业监控软件。上周,Progea被披露存在权限提升漏洞,本地用户可将任意代码插入到未引用的服务路径中,并升级其权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结
上周,Wi-Fi Alliance被披露存在密钥重装漏洞,攻击者可利用漏洞任意数据包解密和注入,TCP连接劫持,HTTP内容注入或单播和组寻址帧的重放。此外,Microsoft、Oracle、Huawei多款产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、提升权限或执行任意代码等。另外,Progea被披露存在权限提升漏洞,本地用户可将任意代码插入到未引用的服务路径中,并升级其权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国证券网、移动支付网、FreeBuf.COM、安全牛、安智客报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。