中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞109個，互聯網上出現“WePresentWiPG-1500后門漏洞、WordPress Adminer插件允許公共管理(本地)數據庫登錄漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　2017年公安部部署的網絡安全大檢查開始了 6月份很關鍵

　　此次執法檢查自今年3月至9月在全國各地開展，為期6個月，以黨政機關、重要行業、國有企事業單位、大型信息技術和互聯網企業為重點保衛目標，以國家關鍵信息基礎設施為重點保衛對象，將采取自查自評、技術檢測、現場檢查、跟蹤督辦、復合檢測相結合的方式，全面梳理摸排國家關鍵信息基礎設施，檢測排查并督促整改網絡安全重大漏洞隱患、風險和突出問題，加大行政執法力度，保障各地網絡安全。>>詳細

　　央行發文規范聚合支付 這四方面是核心

　　部分收單機構或聚合支付服務商創新開展“聚合支付”服務，為特約商戶提供了融合多個支付渠道，一站式資金結算和對賬的技術解決方案，滿足了特約商戶對減低系統投入和運營成本，提供資金結算和財務對賬效率的實際需求。但部分聚合技術服務商涉嫌無證從事支付結算業務，擾亂了市場秩序，需要加以規范。>>詳細

　　315晚會曝光二維碼支付安全 這些詐騙手段讓人不寒而栗

　　因為存儲信息、使用便利、近乎零成本的特點，二維碼現在幾乎成為移動消費支付的首選入口。二維碼支付正在變得越來越稀松平常。然而如同一個硬幣的兩個面，也因為這些特點的存在，不法分子看到了新套路，畢竟偽造一個二維碼來是輕而易舉的。>>詳細

　　美國國土安全部:放一段聲音就能黑掉你的手機

　　功能強大的智能手機當中保存著使用者太多的秘密，而如何保護這些信息成為讓人頭疼的事情。往往人們認為良好的使用習慣和安裝一款靠譜的防護軟件就能保萬無一失，但來自美國科學家的最新研究卻令人心涼。想要黑掉一臺智能手機，只需要播放一段聲音這么簡單。>>詳細

　　PoS機惡意軟件MajikPOS攻擊北美和加拿大用戶

　　利用端對端加密方法正確配置chip-and-pin信用卡的用戶應該不會受此影響，不過不支持這些加密的終端可能也會帶來風險。美國已使用了EMV導致網絡欺詐行為不斷上漲。話雖如此，EMV還是要比磁條卡更安全。>>詳細

　　保障俄聯邦國家信息安全的戰略升級——俄新版《信息安全學說》解讀

　　俄羅斯歷來十分重視信息安全問題，此前受西方“信息戰”理論和實踐沖擊，俄在2000年頒布的《信息安全學說》，正式把信息安全作為戰略問題來考慮，從理論和實踐上加緊準備和建設，認真探討進行信息戰的各種措施。此次發布的新版學說，是對2000年版《信息安全學說》的更新升級，內容更加豐富，任務更加明確。>>詳細

　　安全漏洞周報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為高。

　　上周共收集、整理信息安全漏洞109個，其中高危漏洞39個、中危漏洞55個、低危漏洞15個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞73個（占38%）。其中互聯網上出現“WePresentWiPG-1500后門漏洞、WordPress Adminer插件允許公共管理(本地)數據庫登錄漏洞”等零日代碼攻擊漏洞。

　　上周重要漏洞安全告警

　　1、Wireless IP Camera(P2P) WIFICAM存在多個高危漏洞

　　Wireless IP Camera (P2P)WIFICAM是一款無線IP 攝像頭。上周，該產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、獲取敏感信息或執行任意代碼等。

　　相關漏洞包括：Wireless IPCamera (P2P) WIFICAM ‘Cloud’功能設計缺陷漏洞、Wireless IPCamera (P2P) WIFICAMRSA密鑰和證書泄露漏洞、Wireless IP Camera (P2P)WIFICAM存在后門漏洞、Wireless IP Camera (P2P) WIFICAM未授權訪問漏洞、Wireless IPCamera (P2P) WIFICAM預授權信息和憑證泄漏漏洞、Wireless IP Camera (P2P)WIFICAM預授權遠程命令執行漏洞、Wireless IP Camera (P2P) WIFICAM遠程命令執行漏洞。其中，“Wireless IPCamera (P2P) WIFICAM ‘Cloud’功能設計缺陷漏洞、Wireless IPCamera (P2P) WIFICAM未授權訪問漏洞、Wireless IP Camera (P2P)WIFICAM預授權信息和憑證泄漏漏洞、Wireless IP Camera (P2P) WIFICAM存在后門漏洞”的綜合評級為“高?！?。目前，廠商尚未發布該漏洞的修補程序。

　　在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　2、SAP云商務平臺HANA系統存在多個高危漏洞

　　SAP云商務平臺HANA系統是一個基于內存計算技術的實時數據計算平臺。上周，該產品被披露存在多個漏洞，其中會話固定和身份認證漏洞較為嚴重，攻擊者可利用漏洞繞過身份驗證和提升權限。

　　相關漏洞包括：SAP云商務平臺HANA系統會話固定漏洞、SAP云商務平臺HANA系統身份認證漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、Google產品安全漏洞

　　Android是美國谷歌（Google）公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。Mediaserver是其中的一個多媒體服務組件。Qualcommnetworking Driver是其中的一個網絡連接庫驅動程序。

　　Qualcomm camera Driver是使用在其中的一個美國高通（Qualcomm）公司開發的攝像頭驅動程序。上周，上述產品被披露存在遠程代碼執行和權限提升漏洞，攻擊者可利用漏洞提升權限和執行任意代碼。

　　相關漏洞包括：AndroidMediaserver組件遠程代碼執行漏洞（CNVD-2017-02815、CNVD-2017-02817）、AndroidMediaserver組件遠程代碼執行漏洞、Android Qualcomm networking驅動程序權限提升漏洞（CNVD-2017-02822）、AndroidQualcomm networking驅動程序權限提升漏洞、Android Qualcomm camera驅動程序權限提升漏洞（CNVD-2017-02812、CNVD-2017-02814）、AndroidQualcomm camera驅動程序權限提升漏洞，上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　4、Veritas產品安全漏洞

　　Veritas Access等都是美國VeritasTechnologies公司的產品。Veritas Access是一套用于非結構化數據的橫向擴展NAS解決方案；VeritasNetBackup Appliance是一款企業級備份管理設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發起拒絕服務攻擊、執行任意代碼或提升權限等。

　　相關漏洞包括：多款Veritas產品任意命令執行漏洞（CNVD-2017-02658）、多款Veritas產品本地命令執行漏洞、多款Veritas產品拒絕服務漏洞、多款Veritas產品硬編碼憑證漏洞、多款Veritas產品目錄遍歷漏洞、多款Veritas產品任意命令執行漏洞、多款Veritas產品身份驗證繞過漏洞、多款Veritas產品本地特權提升漏洞。其中，“多款Veritas產品硬編碼憑證漏洞、多款Veritas產品目錄遍歷漏洞、多款Veritas產品任意命令執行漏洞、多款Veritas產品身份驗證繞過漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。在此，提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　5、Dahua DHI-HCVR7216A-S3中間人攻擊漏洞

　　大華DHI-HCVR7216A-S3是中國大華（Dahua）公司的一款網絡硬盤錄像機產品。上周，大華被披露存在中間人攻擊漏洞，攻擊者可利用該漏洞創建擁有特權的新用戶，執行中間人攻擊，獲取敏感信息。目前，廠商尚未發布該漏洞的修補程序。在此，提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

　　專家點評和建議

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：上周，Wireless IPCamera (P2P) WIFICAM被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、獲取敏感信息或執行任意代碼等。此外，SAP、Google、Veritas等多款產品被披露存在多個漏洞，攻擊者利用漏洞可泄露敏感信息、提升權限、執行任意代碼或發起拒絕服務攻擊等。另外，大華被披露存在中間人攻擊漏洞，攻擊者可利用該漏洞創建擁有特權的新用戶，執行中間人攻擊，獲取敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案?！　?/p>

　?。ㄖ袊娮鱼y行網綜合中國信息安全、移動支付網、E安全、快科技、等級保護測評報道）

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇