302 Found


Powered by Tengine
tengine

“边信道攻击技术”大可盗保险箱和汽车 小可窃手机隐私

2016-08-22 15:24
来源:中国电子银行网综合
作者:韩希宇
字号:

  中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞219个,互联网上出现“NUUO NVRmini 2任意代码执行漏洞、NUUO NVRmini 2远程代码执行漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

  一周信息安全要闻速览

  高安全电子锁神话告破 电压和执行时间是破解点

  边信道攻击涉及诸如分析电压波动和执行时长变化等技术。通过监测系统核实用户输入与预存值时这些数值的变动,攻击者可以增量恢复加密密钥,或者,在目标物是电子锁的情况下,得到正确的存取码。>>详细

  不用联网就可以窃取数据?怎么实现的?

  目前这种技术的工作距离只有 6 英尺,传输速率为每分钟 180 比特,并且能够在 25 分钟内窃取 4096 位的密钥。通过 DiskFiltration 他们可以将一台电脑上的机密数据传到附近的手机上。>>详细

  新FFS Rowhammer攻击劫持Linux虚拟机

  研究人员表示,易如反掌。他们的在研究报告中提供了两种概念认证攻击,用一位二进制位感染RSA公开密钥,他们便能创建SSH连接到受害者的设备,或修改APT来源并引诱用户安装恶意APT软件包。>>详细

  CNNVD: 关于Zabbix漏洞情况的通报

  远程攻击者可利用该漏洞获取Zabbix系统的管理员账号,进行服务器信息监控、用户管理、执行恶意脚本等恶意操作,从而直接获取计算机远程控制权限,进一步对受影响的服务器实施远程攻击。>>详细

  POS机刷卡手续费新标准9月6日正式实施

  新规实施之后将取消封顶,借记卡的刷卡费率降低,2000元以上为18—20元(包括发卡行服务费、第三方收费),这样可以减轻商户的负担。对于目前存量执行扣率高于新标准的商户,9月6日后自动降低扣率。对于目前存量执行扣率低于新标准和目前执行封顶的商户,需要在8月底前进行协议。>>详细

  88个金融类App被曝10大隐患 安全漏洞亟待打补丁

  《白皮书》内容显示,当前国内移动互联网金融App信息安全存在着以下十大安全隐患:信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、敏感信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。>>详细

  上周重要漏洞信息

  1、Microsoft产品安全漏洞

  8月9日,微软发布了2016年8月份的月度例行安全公告,共含9项更新,修复了MicrosoftWindows、Internet Explorer、Edge、Office、Microsoft 通信平台和软件中存在的27个安全漏洞。其中,5项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。

  CNVD收录的相关漏洞包括:MicrosoftWin32k权限提升漏洞(CNVD-2016-06263、CNVD-2016-06264、CNVD-2016-06265、CNVD-2016-06299)、MicrosoftOffice内存破坏漏洞(CNVD-2016-06268、CNVD-2016-06269、CNVD-2016-06270、CNVD-2016-06271)等。其中,“MicrosoftOffice内存破坏漏洞(CNVD-2016-06268、CNVD-2016-06269、CNVD-2016-06270、CNVD-2016-06271)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  2、Google产品安全漏洞

  Android on Nexus 5和7是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套运行于Nexus 5和7(智能手机)中并以Linux为基础的开源操作系统。Qualcomm是使用在其中的一个美国高通(Qualcomm)公司的设备专用的高通组件。上周,该产品被披露存在权限获取漏洞,攻击者可利用漏洞获取权限。

  CNVD收录的相关漏洞包括:Android onNexus Qualcomm组件权限获取漏洞(CNVD-2016-06231、CNVD-2016-06233、CNVD-2016-06243、CNVD-2016-06246、CNVD-2016-06247、CNVD-2016-06248、CNVD-2016-06249、CNVD-2016-06250)等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  3、Mozilla产品安全漏洞

  Mozilla Firefox是一款开源Web浏览器;Firefox ESR是Firefox的一个延长支持版本。上周,上述产品被披露存在多个安全漏洞,攻击者可利用漏洞提执行任意代码、泄露敏感信息、进行跨站脚本攻击或发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:MozillaFirefox和Firefox ESR拒绝服务漏洞(CNVD-2016-06138)、MozillaFirefox和Firefox ESR栈缓冲区溢出漏洞、Mozilla Firefox密码获取漏洞、MozillaFirefox和Firefox ESR内存破坏漏洞(CNVD-2016-06148)、MozillaFirefox和Firefox ESR跨站脚本漏洞、Mozilla Firefox和Firefox ESR'nsDisplayList::HitTest'函数任意代码执行漏洞、Mozilla Firefox和Firefox ESR信息泄露漏洞、MozillaFirefox和Firefox ESR存在未明内存破坏漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  4、Cisco 产品安全漏洞

  Cisco IOS XR Software是美国思科(Cisco)公司的IOS软件系列(包括IOS T、IOS S和IOS XR)中的一套完全模块化、分布式的网络操作系统。Cisco RV180、RV180W、RV110W、RV130W和RV215W均为思科公司路由器产品。Cisco IOS是美国思科(Cisco)公司为其网络设备开发的操作系统。CiscoTelePresence Video Communication Server Expressway是美国思科(Cisco)公司的一款网真视频通信服务器,Cisco UnifiedCommunications Manager是一款统一通信系统中的呼叫处理组件。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞遍历目录、执行任意代码和发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:Cisco IOS XRSoftware远程拒绝服务漏洞、Cisco RV180/RV180W任意命令执行漏洞、CiscoRV180/RV180W目录遍历漏洞、Cisco IOS拒绝服务漏洞(CNVD-2016-06186)、多款Cisco产品安全绕过漏洞、多款Cisco产品存在任意命令执行漏洞、CiscoTelePresence Video Communication Server Expressway命令注入漏洞、Cisco UnifiedCommunications Manager IM and Presence Service拒绝服务漏洞等。其中,“CiscoRV180/RV180W任意命令执行漏洞、多款Cisco产品安全绕过漏洞、Cisco UnifiedCommunications Manager IM and Presence Service拒绝服务漏洞”的综合评级为“高危”。目前,厂商已经发布了除“CiscoRV180/RV180W任意命令执行漏洞”以外漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  5、NUUO NVRmini 2任意代码执行漏洞

  NUUO提供一个稳定的和高性能的数字联网监控系统。上周,NUUO NVRmini 2被披露存在任意代码执行漏洞。攻击者可利用该漏洞以root权限注入和执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

  专家点评和建议

  中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,8月9日,微软发布了2016年8月份的月度例行安全公告,共含9项更新,修复了Microsoft Windows、Internet Explorer、Edge、Office、Microsoft 通信平台和软件中存在的27个安全漏洞。此外,Google、Mozilla、Cisco等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取敏感信息、执行任意代码和发起拒绝服务攻击等。另外, NUUO NVRmini 2被披露存在任意代码执行漏洞。攻击者可利用该漏洞以root权限注入和执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。 

 

责任编辑:韩希宇

您有好的观点和精彩的文章,欢迎投稿。投稿邮箱:cebnetnews@cfca.com.cn 。

微信扫一扫,在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP(半刻金融)。

中国电子银行网官方微信 中国电子银行网手机网站 中国电子银行网官方APP
 
 
 
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停

 

新闻推荐

Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证05045998号—2. 京公网安备110102004896号

可信网站