取消
温馨提示:
敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

金融业信息安全升级 黑科技加码银行APP

韩希宇 来源:中国电子银行网 2018-09-28 10:11:16 银行 信息安全 原创新闻
韩希宇     来源:中国电子银行网     2018-09-28 10:11:16

核心提示FIDO为移动互联网应用提供基于生物特征识别+PKI高强度密码认证的复合身份验证方式,可实现指纹、声纹、人脸、虹膜等不同的生物识别方式,简化用户体验的同时保证安全性。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞375个,互联网上出现“OracleVirtualBox Manager 'Name Attribute'拒绝服务漏洞、Western Digital My Cloud身份验证绕过漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  一图读懂金融标准:《金融行业信息系统信息安全等级保护实施指引》

金融业信息安全升级 黑科技加码银行APP

  今天小编给大家带来的是中国人民银行营业管理部推出的“一图读懂 金融标准”系列,为大家解读《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)。>>详细

  苹果、亚马逊、Alphabet等支持美出台数据隐私保护法

金融业信息安全升级 黑科技加码银行APP

  这些公司支持让用户拥有他们对自己数据的控制权,对数据如何使用的透明性以及删除他们数据的能力,个人数据包括网页浏览历史以及其他消费者数据。>>详细

  黑科技加码招商银行企业APP 财务们有福了

金融业信息安全升级 黑科技加码银行APP

  用户可以通过人脸识别、指纹识别等方式实现免UKEY交易和第三方数字证书签约。整个业务办理过程不仅快速、安全,同时也符合《电子签名法》及央行关于在线支付业务的相关要求。>>详细

  华大电子联手中天微 共筑完全自主可控金融“芯”长城


  其TEE和抗物理攻击技术,从内到外,全方位考虑抵御各种安全威胁。除了在硬件上的防范技术之外,中天微在可信启动、镜像签名、安全存储、数据加密、权限控制、设备认证等软件安全技术方面不断更新与升,为客户的产品保驾护航。>>详细

  比特币软件被曝DoS 漏洞:开发者紧急修补

金融业信息安全升级 黑科技加码银行APP

  这个漏洞是一个DoS漏洞,修复方案已经通过Bitcoin Core 0.16.3发出。如果这个漏洞被黑客利用,就有可能去掉节点,最糟糕的情况甚至会导致相当一部分网络暂时崩溃。>>详细

  美国议员法案三连击 拟为区块链和加密货币打造更优发展环境

金融业信息安全升级 黑科技加码银行APP

  第二项法案则明确加密货币矿工和多签名服务提供商无需注册成为“货币转账服务提供商”,因为他们并没有完全控制投资者的资金,而是仅仅帮助验证网络完整性,并为使用数字资产的用户提供更高的安全性。>>详细

  技术观澜

  深度学习中常见的10个方法 你应该知道

金融业信息安全升级 黑科技加码银行APP

  从根本上讲,机器学习是使用算法从原始数据中提取信息,并在某种类型的模型中表示这些信息。我们使用这个模型来推断还没有建模的其他数据。>>详细

  多种使用SMB端口远程连接PC的方法介绍

金融业信息安全升级 黑科技加码银行APP

  当你收集到了目标PC的用户名和密码之后,如何通过SMB端口445来与目标用户的设备建立连接呢?在这篇文章中,我们将帮助大家解开这个疑惑。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2018年09月17日-2018年09月23日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞375个,其中高危漏洞109个、中危漏洞247个、低危漏洞19个。漏洞平均分值为5.96。上周收录的漏洞中,涉及0day漏洞122个(占33%),其中互联网上出现“OracleVirtualBox Manager 'Name Attribute'拒绝服务漏洞、Western Digital My Cloud身份验证绕过漏洞”等零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数588个,与上周(1267个)环比下降54%。

  上周重要漏洞安全告警

  Microsoft产品安全漏洞

  Microsoft Windows 7 SP1是一套个人电脑使用的操作系统。Windows Server 2008是一套服务器操作系统。Windows Server 2008 R2 SP1是一套服务器使用的操作系统。Microsoft Windows 10是一套供个人电脑使用的操作系统。Windows Server Version 1709是一套服务器操作系统。Windows Server 2016是一套服务器操作系统。Microsoft Internet Explorer是一款流行的WEB浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,破坏内存。

  CNVD收录的相关漏洞包括:Microsoft Windows GDI+Component远程代码执行漏洞、Microsoft Windows Kernel'Win32k.sys'本地权限提升漏洞(CNVD-2018-19388)、MicrosoftInternet Explorer远程内存破坏漏洞(CNVD-2018-19391、CNVD-2018-19392、CNVD-2018-19393)、Microsoft Windows Kernel'Win32k.sys'本地权限提升漏洞(CNVD-2018-19394)、Microsoft Windows NDIS本地权限提升漏洞(CNVD-2018-19396)、Microsoft WindowsInstaller DLL加载本地限提升漏洞。其中,除“Microsoft Windows InstallerDLL加载本地限提升漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Apache产品安全漏洞

  Apache SpamAssassin是的一款开源的垃圾邮件过滤器,它为系统管理员提供了一个过滤器,并支持对电子邮件进行分类阻止垃圾邮件。Apache Camel是一套开源的基于EnterpriseIntegration Pattern(企业整合模式,简称EIP)的集成框架。Apache TrafficServer(ATS)是一款HTTP代理和缓存服务器。Apache Mesos是一套支持Hadoop、ElasticSearch和Spark等应用架构的开源群集管理软件。Apache Cayenne是一款提供对象关系映射(ORM)和远程服务的开源持久性框架。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞查看系统上的任意文件,执行任意代码,发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:ApacheSpamAssassin PDFInfo插件远程代码执行漏洞、Apache Camel Mail路径遍历漏洞、Apache Mesoslibprocess拒绝服务漏洞、Apache Cayenne CayenneModeler XML外部实体注入漏洞、Apache TrafficServer拒绝服务漏洞(CNVD-2018-19518、CNVD-2018-19519、CNVD-2018-19513、CNVD-2018-19517)。其中,“ApacheSpamAssassin PDFInfo插件远程代码执行漏洞、Apache CayenneCayenneModeler XML外部实体注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  Google产品安全漏洞

  Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码或造成拒绝服务。

  CNVD收录的相关漏洞包括:Google AndroidQualcomm MProc缓冲区溢出漏洞、Google Android缓冲区溢出漏洞(CNVD-2018-19554、CNVD-2018-19573、CNVD-2018-19572)、Google AndroidWLAN缓冲区溢出漏洞(CNVD-2018-19576)、Google Android PMIC缓冲区溢出漏洞、Google Android缓冲区溢出漏洞(CNVD-2018-19581)、Google AndroidAudio缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  IBM产品安全漏洞

  IBM WebSphere Application Server(WAS)是一款应用服务器产品,它是Java EE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。IBM RationalDOORS是一套用于捕获、跟踪、分析和管理需求的软件。IBM FileNet Content Manager和ContentFoundation都是针对FileNet P8平台的内容管理解决方案。IBM Rational QualityManager(RQM)是一套协作的、基于Web的质量管理解决方案。IBM RationalCollaborative Lifecycle Management(CLM)是一套协作化生命周期管理解决方案。RationalQuality Manager(RQM)是一套协作的、基于Web的质量管理解决方案。IBM TivoliMonitoring(ITM)是一套系统监控软件。IBM GPFS是一套专为PB级存储管理而优化的企业文件管理系统。IBM SpectrumScale是一套基于IBM GPFS的可扩展的数据及文件管理解决方案。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:IBM WebSphereApplication Server信息泄露漏洞(CNVD-2018-19104)、IBM RationalDOORS权限提升漏洞、IBM FileNet Content Manager和Content FoundationAdministration Console for Content Platform Engine XML外部实体注入漏洞、IBM RationalQuality Manager信息泄露漏洞、IBM Rational Quality Manager HTML注入漏洞(CNVD-2018-19534)、多款IBM产品信息泄露漏洞(CNVD-2018-19536)、IBM TivoliMonitoring权限提升漏洞、IBM GPFS拒绝服务漏洞。其中,“IBM Rational DOORS权限提升漏洞、IBM TivoliMonitoring权限提升漏洞”的综合评级为“高危”。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  HPE 3PAR Service Processor远程代码执行漏洞

  HPE 3PAR Service Processor(SP)是一套部署在VMware vSphere虚拟机管理程序上的虚拟服务处理器。上周,HPE 3PAR Service Processor(SP)被披露存在远程代码执行漏洞。远程攻击者可利用该漏洞执行代码。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

  小结

  上周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,破坏内存。此外,Apache、Google、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,发起拒绝服务攻击等。另外,HPE 3PAR Service Processor(SP)被披露存在远程代码执行漏洞。远程攻击者可利用该漏洞执行代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、新浪科技、雷锋网、51CTO、金融IC卡技术与应用、FreebuF.COM、金融科技头条报道

责任编辑:韩希宇

收藏

为你推荐

收藏成功

确定