中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞340個，互聯網上出現“Microsoft Edge 內存破壞漏洞（CNVD-2017-01981）、EMC DocumentumD2 遠程代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　一周信息安全要聞速覽

　　央行發布《銀行卡受理終端安全規范》 POS和ATM均需遵守新要求

　　該標準由全國金融標準化技術委員會歸口，由中國人民銀行科技司、中國銀聯股份有限公司、中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、交通銀行、中國光大銀行、招商銀行、中國郵政儲蓄銀行、中國金融電子化公司、中金金融認證中心有限公司、北京銀聯金卡科技有限公司、銀聯商務有限公司、福建聯迪商用設備有限公司、中國軟件評測中心、信息產業信息安全測評中心等單位組成的工作組起草。>>詳細

　　兩家收單機構被人行處罰：易票聯被罰533萬元 中付支付被罰6萬元

　　易票聯支付有限公司因“違反非金融機構支付服務管理規定、銀行卡收單業務管理規定”，被沒收違法所得，并處違法所得2倍罰款；中付支付科技有限公司合肥分公司因“違反銀行卡收單業務相關法律制度規定”，被處6萬元罰款。>>詳細

　　Google宣布攻破SHA-1加密：證明哈希值可與PDF文件內容沖突

　　這項被業內廣泛用于數字簽名、文件完整性驗證、以及保護廣泛的數字資產（包括信用卡交易、電子文檔、開源軟件資源庫與軟件更新等）的加密標準，現已被實際證明可精心制作出兩份沖突的PDF文件。>>詳細

　　波音公司3.6萬名員工數據意外被泄

　　去年年底，該公司一名員工將公司電子表格通過電子郵件發送給了并不在公司就職的配偶。這名員工表示希望配偶幫助解決格式問題。這份文件包含3.6萬名波音員工的敏感個人身份信息，包括姓名、出生地、BEMSID和會計部門代碼。>>詳細

　　移動APP安全行業報告金融篇

　　移動 APP 已逐步滲透入我們的生活，據統計，2016年，APP 發行數量僅電商、金融、游戲這三大類共計高達2萬左右，國內移動互聯網活躍用戶數已經突破10億，移動互聯網這樣快速的推移，移動互聯網的安全問題更為嚴峻。>>詳細

　　中國發布《網絡空間國際合作戰略》

　　經中央網絡安全和信息化領導小組批準，外交部和國家互聯網信息辦公室3月1日共同發布《網絡空間國際合作戰略》。戰略以和平發展、合作共贏為主題，以構建網絡空間命運共同體為目標，就推動網絡空間國際交流合作首次全面系統提出中國主張，為破解全球網絡空間治理難題貢獻中國方案，是指導中國參與網絡空間國際交流與合作的戰略性文件。>>詳細

　　二維碼支付迫切需要解決四大問題

　　二維碼支付的快速發展除了商戶投入成本低，客戶體驗佳以及這兩家機構投入了巨額補貼等原因外，還與目前相關管理制度尚未發布，無太大監管壓力有關。>>詳細

　　安全漏洞周報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為高。

　　上周共收集、整理信息安全漏洞340 個，其中高危漏洞149 個、中危漏洞179 個、低危漏洞12 個。漏洞平均分值為6.41。上周收錄的漏洞中，涉及0day漏洞125 個（占37%）。其中互聯網上出現“Microsoft Edge 內存破壞漏洞（CNVD-2017-01981）、EMC DocumentumD2 遠程代碼執行漏洞”等零日代碼攻擊漏洞，請使用相關產品的用戶注意加強防范。

　　上周重要漏洞安全告警

　　上周，CNVD 整理和發布以下重要安全漏洞信息。

　　1、Linux 產品安全漏洞

　　Linux kernel 是美國Linux 基金會發布的操作系統Linux 所使用的內核。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞發起拒絕服務攻擊或獲取權限執行任意代碼。

　　相關漏洞包括：Linux kernel 特權提升漏洞、Linux Kernel 不完全修復本地權限提升漏洞、Linux Kernel'net/sctp/socket.c'本地拒絕服務漏洞、Linux Kernel'drivers/infiniband/sw/rxe/rxe_mr.c'本地整數溢出漏洞、Linux kernel'include/linux/init_task.h'拒絕服務漏洞、Linux kernel 拒絕服務漏洞（CNVD-2017-01859、CNVD-2017-01852）、Linux kernel'ip6_gre.c'拒絕服務漏洞。

　　其中，“Linux kernel 特權提升漏洞、Linux Kernel 不完全修復本地權限提升漏洞、Linux Kernel'net/sctp/socket.c'本地拒絕服務漏洞、Linux Kernel'drivers/infiniband/sw/rxe/rxe_mr.c'本地整數溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　2、Adobe 存在產品安全漏洞

　　Adobe Flash Player 是美國Adobe 公司開發的一款廣泛使用的、專有的多媒體程序播放器。上周，該產品被披露存在緩沖區溢出和內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　相關漏洞包括：Adobe FlashPlayer 內存破壞漏洞（CNVD-2017-01781、CNVD-2017-01782、CNVD-2017-01783、CNVD-2017-01784）、Adobe FlashPlayer 堆緩沖區溢出漏洞（CNVD-2017-01785、CNVD-2017-01786、CNVD-2017-01787）、Adobe FlashPlayer 整數溢出漏洞（CNVD-2017-01780）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、Google 產品安全漏洞

　　Google Nexus/Pixel 都是美國谷歌（Google）公司的智能手機。Google Nexus 9是美國谷歌（Google）公司的一款平板電腦。NVIDIA GPUDrivers 是一個圖形處理器驅動。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞以提升的內核權限執行任意代碼。

　　相關漏洞包括：GoogleNexus/Pixel 產品Qualcomm Wi-Fi Driver 權限提升漏洞、GoogleNexus/Pixel 產品Qualcomm Wi-Fi Driver 權限提升漏洞（CNVD-2017-01580、CNVD-2017-01581、CNVD-2017-01582、CNVD-2017-01583、CNVD-2017-01584）、Google NexusNVIDIA GPU Driver 權限提升漏洞（CNVD-2017-01588、CNVD-2017-01589）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　4、Apple 產品安全漏洞

　　Apple macOS Sierra 是美國蘋果（Apple）公司為Mac 計算機所開發的一套專用操作系統。Help Viewer 是其中的一個基于WebKit 的HTML 查看器。Bluetooth是一個藍牙組件。GraphicsDriver 是一個圖形驅動器組件。Apple Safari 是美國蘋果公司的一款Web 瀏覽器，是Mac OS X 和iOS 操作系統附帶的默認瀏覽器。WebKit 是KDE 社區開發的一套開源Web 瀏覽器引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發起跨站腳本攻擊或執行任意代碼等。

　　相關漏洞包括：Apple macOSSierra Help Viewer 跨站腳本漏洞、Apple macOS Sierra Bluetooth 內存錯誤引用漏洞、Apple macOSSierra Graphics Driver 內存破壞漏洞、Apple Safari WebKit 內存破壞漏洞（CNVD-2017-01634、CNVD-2017-01635、CNVD-2017-01636、CNVD-2017-01685）、Apple SafariWebKit 內存初始化漏洞。除“Apple macOS Sierra Help Viewer 跨站腳本漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　5、TP-Link C2 和C20i 默認憑證設計漏洞

　　TP-Link 是一家中國網絡設備制造商，如路由器、IOT 設備等。上周，TP-Link被披露存在默認憑證設計漏洞。攻擊者可利用漏洞執行多次system()命令，并以root 權限運行。目前，廠商尚未發布該漏洞的修補程序。在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　專家點評和建議

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：上周，Linux 被披露存在多個漏洞，攻擊者可利用漏洞發起拒絕服務攻擊或獲取權限執行任意代碼。此外，Adobe、Google、Apple 等多款產品被披露存在多個漏洞，攻擊者利用漏洞可提升權限、發起跨站腳本攻擊或執行任意代碼等。另外，TP-Link 被披露存在默認憑證設計漏洞。攻擊者可利用漏洞執行多次system()命令，并以root 權限運行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案?！　?/p> 人妻精品一区二区三区_好紧好湿好硬国产在线视频_亚洲精品无码mv在线观看_国内激情精品久久久

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇