中國電子銀行網訊 國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞396個，互聯網上出現“MicrosoftWindows Server 2003 R2 IIS緩沖區溢出漏洞、Joomla!jCart For OpenCart組件SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞，并特約中國金融認證中心（CFCA）信息安全專家對漏洞風險作出點評和建議。

　　一周行業動態

　　《英國數字化戰略》發布

　　英國將開展如下部署：（1）從根本上解決數字化鴻溝問題，確保公眾能充分獲益于數字化世界；（2）確保公眾掌握所需的各項數字化技能；（3）鼓勵公共、私有和第三部門之間的合作，以協調一致的方式填補數字化技能鴻溝。>>詳細

　　螞蟻金服與建行達成戰略合作 二維碼支付互認互掃？

　　按照協議，螞蟻金服將協助建設銀行推進信用卡線上開卡業務，為此前無法覆蓋的人群提供信用卡服務。雙方還將推進線下線上渠道業務合作、電子支付業務合作、打通信用體系，共同探索商業銀行與互聯網金融企業合作創新模式。>>詳細

　　加快架構轉型 打造數字央行——人民銀行召開2017年科技工作會議

　　今后一段時期，央行科技工作應以建設數字央行為目標，重點打造一支專業型、復合型、學習型、創新型的央行金融科技隊伍；實現架構轉型和大數據利用兩個突破；完善風險防控、科技治理、技術研發三個體系，構建以大數據為支撐的央行決策平臺、以分布式系統為核心的央行服務平臺、以數字貨幣探索為龍頭的央行創新平臺。>>詳細

　　易觀：2016年Q4中國非金融支付機構綜合支付數據

　　根據易觀2016年第4季度中國非金融支付機構綜合支付市場交易份額占比統計，支付寶、銀聯商務和財付通分別以33.77%、27.35%和20.60%的市場份額位居前三位。三者市場份額總和達到81.72%。>>詳細

　　評“網聯”：真正目的是催生支付清算牌照

　　3月31日，經過近一年的發酵，網聯上線了，因為是試運行，和一年前的聲勢相比，低調了很多。17天后(即4月17日)，支付機構備付金集中存管也要落地了，備付金多機構存放的模式也要告一段落，且不再付利息。也許，過不了幾個月，清算業務牌照就可以開放申請了，屆時，沒有清算牌照的支付機構再從事清算業務，便是真正的違規了。>>詳細

　　iOS 10.3.1修復的那個WiFi芯片漏洞 也影響到了數百萬Android手機

　　此問題存在于博通的固件代碼之中，可導致遠程代碼執行漏洞，允許處于設備WiFi范圍內的攻擊者向目標設備發送并執行代碼。更牛逼的攻擊者還可以部署惡意代碼，完全控制受害者的設備，并在受害者不知情的情況下安裝諸如銀行木馬、勒索軟件、惡意廣告等惡意程序。>>詳細

　　孟加拉央行8100萬美元劫案線索直指朝鮮

　　自稱Lazarus Group的黑客團伙，被視為一系列銀行黑客劫案背后的罪魁禍首，這些劫案包括2016年2月孟加拉央行SWIFT交易軟件漏出的8100萬美元。>>詳細

　　技術觀瀾

　　HOW FIDO WORKS

　　FIDO是神馬

　　對于互聯網公司來說，隨著重大數據泄露事故的頻發，過去基于密碼的在線身份驗證技術已經難以維持互聯網經濟的穩定發展，安全界關于“密碼已死”的呼聲越來越高。而FIDO聯盟正是在這個背景下應運而生的一個推動去密碼化的強認證協議標準的組織。FIDO的目標是創建一組新的協議，支持對web應用持續的、安全的、無需密碼的訪問（即所謂的非密碼強認證）。

　　FIDO的主要使命是以創建行業標準的方式保證各個廠商開發的強認證技術之間的互操作性，用簡化的雙因子甚至多因子認證技術結束多年來消費者記憶密碼的煩惱。其次FIDO協議也可以保護用戶的隱私。協議不提供可被不同在線服務使用的信息，用于跨服務協作和跟蹤用戶。生物特征信息（如果使用）永遠不會離開用戶的設備。

　　FIDO的標準草案介紹了FIDO認證協議的工作原理，用戶可以使用智能手機指紋采集器、USB令牌等多種方式登錄，服務商無需再維護復雜且成本高昂的認證后臺。

　　FIDO的會員包括Nok Nok Labs、Google、BlackBerry、ARM、英特爾、PayPal、Lenovo和MasterCard。在RSA之前，微軟和EMC旗下的RSA是最近加入FIDO聯盟的兩個重量級廠商。

　　FIDO工作原理

　　FIDO通過兩個子協議實現安全登錄（驗證）。U2F標準是關于使用PIN和USBdongle或者支持NFC的手機；第二個相關協議UAF支持指紋、語音、虹膜掃描等生物測定身份識別技術。

　　加入FIDO聯盟之后，電腦和手機廠商將在其設備中植入一顆專門用來進行身份識別的TPM芯片，FIDO標準還允許手機制造商用NFC技術來達到TPM芯片相應的功能。據了解，ARM和Intel公司都有意愿在未來為手機和平板電腦開發類似于TPM的技術。FIDO協議使用標準公鑰密碼技術來提供更強大的認證。在使用在線服務注冊時，用戶的客戶端設備創建一個新的密鑰對。設備保留私鑰，并在線服務注冊公鑰。身份驗證由客戶端設備完成，通過簽名一個挑戰(challenge)以此對服務證明登錄人擁有私鑰?？蛻舳说乃借€只有在用戶在設備上本地解鎖之后才能使用。本地解鎖是通過用戶友好和安全的操作實現的，例如滑動手指，輸入PIN，說話到麥克風，插入第二因素設備或按下按鈕。

　　1. 系統將提示用戶選擇與在線服務接受的策略相匹配的可用FIDO驗證器。

　　2. 用戶使用指紋讀取器（第二因素設備上的按鈕）安全輸入的PIN或其他方法來解鎖FIDO驗證器。

　　3. 用戶設備創建本地設備，在線服務和用戶帳戶唯一的新的公鑰/私鑰對。

　　4. 公鑰被發送到在線服務并與用戶的帳戶相關聯。私鑰和任何有關本地認證方法的信息（如生物特征測量或模板）不會離開本地設備。

　　1. 在線服務挑戰(challenge)用戶使用與先前注冊服務的設備進行登錄。

　　2. 用戶使用與注冊時相同的方法來解鎖FIDO身份驗證器。

　　3. 設備使用服務器提供的用戶帳戶標識符來選擇正確的密鑰并給挑戰(challenge)簽名

　　4. 客戶端設備將簽名送回服務器，由服務端驗證驗簽，并作出是否允許用戶登錄的決定。

　　FIDO的大不同

　　FIDO的核心思想是（1）易用性，（2）隱私和安全性，（3）標準化。為了跨越密碼（或OTP）的認證，這種傳統上公司面臨著一整套專有客戶端和協議。

　　FIDO通過標準化客戶端和協議層來改變這一點。這引發了一個蓬勃發展的生態系統的客戶端認證方法，如生物識別，PIN和第二因素，這些第二因素驗證以互操作的方式與各種在線服務一起使用。

　　FIDO的標準化由兩組標準化構成：在線加密協議標準化和本地認證的客戶端標準化。

　　在線加密協議標準化指FIDO標準化客戶端和在線服務之間使用的認證協議。該協議基于標準公鑰密碼術-初始設置時客戶端向在線服務注冊公鑰。稍后，當驗證時，服務通過要求用戶簽名挑戰(challenge)來驗證客戶端是否擁有私鑰。該協議旨在確保用戶在當前互聯網狀態下的隱私和安全性。

　　本地認證的客戶端標準化指FIDO標準在客戶端為用戶執行的本地認證方法定義了一個通用接口?？蛻舳丝梢灶A先安裝在操作系統或Web瀏覽器上?？梢酝ㄟ^該標準化接口將諸如安全PIN，生物識別（面部，語音，虹膜，指紋識別等）和第二因素設備的不同認證方法“插入”到客戶端中。

　　FIDO現有規范

　　2016年12月7日，FIDO聯盟已經宣布提供UAF1.1和U2F1.1規范。FIDO通過兩個子協議實現安全登錄（驗證）。U2F標準是關于使用PIN和USB棒或者支持NFC的手機；第二個相關協議UAF支持指紋、語音、虹膜掃描等生物測定身份識別技術。

　　FIDO U2F系列標準包括：FIDO U2F架構概要、FIDO U2F JAVASCRIPT API、FIDO U2F未處理消息格式、FIDO U2F HID協議、藍牙協議、NFC協議、FIDO U2F實現注意事項、FIDO安全參考等。

　　FIDO UAF系列標準包括：FIDO UAF架構概要、FIDO UAF協議規范、UAF應用API和傳輸綁定規范、FIDO UAF認證器-詳細模塊API、FIDO UAF認證器指令、FIDO ECDAA算法規范、FIDO UAF APDU命令、FIDO UAF認證器元數據概述、FIDO UAF認證器元數據服務等等。

　　安全漏洞周報

　　上周漏洞基本情況

　　上周信息安全漏洞威脅整體評價級別為中。

　　上周共收集、整理信息安全漏洞396個，其中高危漏洞146個、中危漏洞216個、低危漏洞34個。漏洞平均分值為5.93。上周收錄的漏洞中，涉及0day漏洞81個（占20%），其中互聯網上出現“MicrosoftWindows Server 2003 R2 IIS緩沖區溢出漏洞、Joomla!jCart For OpenCart組件SQL注入漏洞”等零日代碼攻擊漏洞。此外，上周涉及黨政機關和企事業單位的事件型漏洞總數1119個，與上周（624個）相比增加1.8倍。

　　上周重要漏洞安全告警

　　一、境外廠商產品漏洞

　　1、Microsoft產品安全漏洞

　　Microsoft Edge是美國微軟（Microsoft）公司開發的一款Web瀏覽器，是Windows 10操作系統附帶的默認瀏覽器。ScriptingEngine是其中的一個JavaScript引擎組件。上周，上述產品被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。

　　相關漏洞包括：Microsoft Edge腳本引擎內存破壞漏洞（CNVD-2017-03366、CNVD-2017-03367、CNVD-2017-03368、CNVD-2017-03369、CNVD-2017-03370、CNVD-2017-03371、CNVD-2017-03372、CNVD-2017-03373）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　2、Google產品安全漏洞

　　Android是美國谷歌公司和開放手持設備聯盟共同開發的一套以Linux為基礎的開源操作系統。MediaTek是使用在其中的一個聯發科（MediaTek）公司的設備專用的聯發科組件。NVIDIA GPUDriver是一個NVIDIA圖形處理器驅動組件。上周，該產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

　　相關漏洞包括：Google AndroidMediaTek組件權限提升漏洞（CNVD-2017-03380、CNVD-2017-03381、CNVD-2017-03382、CNVD-2017-03383、CNVD-2017-03384、CNVD-2017-03385）、Google AndroidNVIDIA GPU Driver權限提升漏洞（CNVD-2017-03821、CNVD-2017-03836）。上述的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　3、Cisco產品安全漏洞

　　Cisco IOx是美國思科（Cisco）公司的一套為思科物聯網網絡基礎設施提供統一托管功能的應用程序。Cisco AdaptiveSecurity Appliances Software是一套運行于防火墻中的操作系統。Cisco TelePresence ServerSoftware是一套被稱為“網真”系統的視頻會議解決方案。Cisco NX-OS是一個數據中心級的操作系統，Cisco UnifiedCommunications Manager是一款統一通信系統中的呼叫處理組件。Cisco WebEx MeetingsServer是WebEx會議方案中的一套包含音頻、視頻和Web會議的多功能會議解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、泄露敏感信息和發起拒絕服務攻擊等。

　　相關漏洞包括：Cisco Iox任意文件修改漏洞、Cisco AdaptiveSecurity Appliances Software安全繞過漏洞、Cisco TelePresence Server Software權限提升漏洞、Cisco NX-OSSoftware拒絕服務漏洞（CNVD-2017-03769）、Cisco UnifiedCommunications Manager跨站腳本漏洞（CNVD-2017-03606）、Cisco UnifiedComputing System Director跨站腳本漏洞、Cisco WebEx Meetings Server認證繞過漏洞、Cisco WebExMeetings Server XML外部實體信息泄露漏洞。其中“Cisco WebEx MeetingsServer XML外部實體信息泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了除“Cisco Unified ComputingSystem Director跨站腳本漏洞、Cisco WebEx Meetings Server認證繞過漏洞、Cisco WebExMeetings Server XML外部實體信息泄露漏洞”外漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　4、SAP產品安全漏洞

　　SAP HANA是德國思愛普（SAP）公司的一套高性能的實時數據分析平臺。SAP NetWeaver是一套面向服務的集成化應用平臺。SAP ERP是一套基于客戶/服務機結構和開放系統的、集成的企業資源計劃系統。SAP GUI是圖形用戶界面客戶端。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制、遠程執行任意代碼或發起拒絕服務攻擊等。

　　相關漏洞包括：SAP ERP遠程授權繞過漏洞、SAP NetweaverDynpro Engine拒絕服務漏洞、SAP NetWeaver存在未明安全繞過漏洞、SAP ERP遠程身份驗證繞過漏洞、SAP GUI遠程代碼執行漏洞、SAP HANAExtended Application Services SQL注入漏洞、SAP HANA拒絕服務漏洞（CNVD-2017-03576）、SAP HANA WebWorkbench SQL注入漏洞。其中，“SAP GUI遠程代碼執行漏洞、SAP HANAExtended Application Services SQL注入漏洞、SAP HANA拒絕服務漏洞（CNVD-2017-03576）、SAP HANA WebWorkbench SQL注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

　　CFCA評論

　　中國電子銀行網特約中國金融認證中心（CFCA）信息安全專家，對漏洞風險作出如下小結：上周，Microsoft被披露存在內存破壞漏洞，攻擊者可利用漏洞執行任意代碼。此外，Gooole、SAP、Cisco等多款產品被披露存在多個漏洞，攻擊者利用漏洞可執行任意代碼、繞過安全限制、泄露敏感信息或發起拒絕服務攻擊等。另外，Wonder被披露存在路徑遍歷漏洞，遠程攻擊者可借助特制的theme利用該漏洞讀取任意文件。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決。

　?。ㄖ袊娮鱼y行網綜合安全牛、FreebuF、移動支付網、蘇寧財富資訊、中科院信息科技戰略情報、易觀、中國人民銀行網站報道）　　

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇