302 Found


Powered by Tengine
tengine

谷歌进步推行https 建立新默认安全标准

2016-09-28 10:22
来源:中国电子银行网综合
作者:韩希宇
字号:

  中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞257个,互联网上出现“InternationalComponents for Unicode栈缓冲区溢出漏洞、WordPressbwtf-waterquality插件跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

  一周信息安全要闻速览

  为什么谷歌对HTTPS的爱将永久改变互联网

  直到最近,大家都觉得只有那些需要访客登录的网站,比如购买产品或服务,或者访问隐藏内容的,才需要用https。但近几年,https连接(使用安全套接字层(SSL)协议或其更佳继任者传输层安全(TLS))快速在互联网上铺开,原因很多,不单纯是为了保护电子商务交易。>>详细

  阿里云首批通过中央网信办网络安全审查

  9月19日,中央网信办公布首批云计算网络安全审查结果,国内最大的公共云计算服务商阿里云获得“增强级”结果,成为国内首批能以社区云模式承载敏感类信息及重要政务业务的全国性云平台。>>详细

  十秒内黑掉Facebook主页?这个漏洞竟然价值1.6万美金

  一位名叫ArunSureshkumar的印度安全专家在Facebook的“企业管理平台”(BusinessManager)中发现了一个严重的漏洞,攻击者可以利用该漏洞来攻击任何人的Facebook主页。>>详细

  个人通过ATM向非同名账户转账资金24小时后到账

  最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会等六部门23日联合发布《关于防范和打击电信网络诈骗犯罪的通告》,其中明确提出,电信企业要确保到2016年10月底前全部电话实名率达到96%,年底前达到100%。>>详细

  马云出任联合国高官!厉害!

  联合国史上第一次,马云受邀出任联合国顶级官员!9月21日,阿里巴巴集团董事局主席马云,受联合国邀请,出任联合国贸易和发展会议青年创业和小企业特别顾问。>>详细

  665Gbps!全球互联网最新DDoS攻击记录诞生

  攻击者之所以能够发动如此大规模的DDoS攻击,是通过入侵物联网(IoT)设备,包括智能汽车、监控摄像头和路由器。黑客组织PoodleCorp和蜥蜴小组也都曾入侵IoT设备,并将其转变成发动DDoS攻击的僵尸网络。>>详细

  安全漏洞周报

  本周漏洞基本情况

  本周信息安全漏洞威胁整体评价级别为高。

  国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞257个,其中高危漏洞146个、中危漏洞104个、低危漏洞7个。漏洞平均分值为6.91。本周收录的漏洞中,涉及0day漏洞95个(占37%)。其中互联网上出现“InternationalComponents for Unicode栈缓冲区溢出漏洞、WordPressbwtf-waterquality插件跨站脚本漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数886个,与上周(512个)环比增长73%。

  本周重要漏洞信息

  1、Adobe产品安全漏洞

  Adobe Flash Player是美国奥多比(Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。本周,该产品被披露存在内存破坏漏洞,攻击者可利用该漏洞执行任意代码或造成拒绝服务(内存破坏)。

  CNVD收录的相关漏洞包括:Adobe FlashPlayer内存破坏漏洞(CNVD-2016-07671、CNVD-2016-07670、CNVD-2016-07666、CNVD-2016-07675、CNVD-2016-07674、CNVD-2016-07673、CNVD-2016-07672、CNVD-2016-07676)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  2、Microsoft产品安全漏洞

  MicrosoftWindows是美国微软(Microsoft)公司发布的一系列操作系统,Microsoft Edge是一款Web浏览器,MicrosoftOffice是一款办公软件套件产品。本周,上述产品被披露存多个漏洞,攻击者可利用该漏洞获取提升的权限、执行任意代码或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:MicrosoftWindows SMB服务器远程代码漏洞、Microsoft Edge脚本引擎内存破坏漏洞(CNVD-2016-07874、CNVD-2016-07815)、MicrosoftWindows本地权限提升漏洞(CNVD-2016-07746)、MicrosoftWindows远程代码执行漏洞(CNVD-2016-07747)、MicrosoftWindows拒绝服务漏洞(CNVD-2016-07748)、MicrosoftOffice内存破坏漏洞(CNVD-2016-07680、CNVD-2016-07684)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  3、Cisco产品安全漏洞

  Cisco IOS和IOS XE都是美国思科(Cisco)公司为其网络设备开发的操作系统。Cisco IOS XRon NCS 6000是一套运行于6000系列路由器设备中的操作系统。Cisco WebEx MeetingsServer(CWMS)是一套包含音频、视频和Web会议的多功能会议解决方案。Cisco UnifiedComputing System Manager可对统一计算系统内的所有软硬件组件提供统一的、嵌入式管理。Cisco CarrierRouting System(CRS)是一套运营商级路由系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码、获取提升的权限或进行跨站脚本攻击等。

  CNVD收录的相关漏洞包括:Cisco IOS和IOS XE CiscoIOx Local Manager跨站脚本漏洞、多款Cisco产品信息泄露漏洞、Cisco IOS XRon NCS 6000拒绝服务漏洞、Cisco IOS and IOS XE Data in Motion拒绝服务漏洞、Cisco WebExMeetings Server拒绝服务漏洞、Cisco Unified Computing System本地权限提升漏洞、Cisco CarrierRouting System拒绝服务漏洞、Cisco WebEx Meetings Server命令注入漏洞(CNVD-2016-07731)等。其中,“多款Cisco产品信息泄露漏洞、Cisco WebExMeetings Server拒绝服务漏洞”的综合评级为“高危”。目前,厂商已经发布除“Cisco UnifiedComputing System本地权限提升漏洞、Cisco Carrier RoutingSystem拒绝服务漏洞”外漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  4、IBM产品安全漏洞

  IBM Tealeaf CustomerExperience是美国IBM公司的一套基于SaaS(软件即服务)的网络和移动应用分析解决方案。IBM RationalAsset Analyzer是一套资产分析软件。IBM WebSphere Application Server(WAS)是一款应用服务器产品。本周,上述产品被披露存在多个漏洞,攻击者可利用此漏洞泄露敏感信息、发起钓鱼攻击或进行跨站脚本攻击等。

  CNVD收录的相关漏洞包括:IBM TealeafCustomer Experience信息泄露漏洞、IBM Tealeaf Customer Experience开放重定向漏洞、IBM TealeafCustomer Experience跨站脚本漏洞(CNVD-2016-07822)、IBM RationalAsset Analyzer本地信息泄露漏洞、IBM Tealeaf Customer Experience Replay Serve存在未明漏洞、IBM TealeafCustomer Experience跨站脚本漏洞、IBM WebSphere Application Server Liberty开放重定向漏洞、IBM WebSphereApplication Server Liberty Profile跨站脚本漏洞等。其中,“IBM TealeafCustomer Experience信息泄露漏洞、IBM Tealeaf Customer Experience开放重定向漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  5、WordPress bwtf-waterquality插件跨站脚本漏洞

  WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。本周,WordPress被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行跨站脚本攻击。目前,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

  专家点评和建议

  中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:本周,Adobe产品被披露存在内存破坏漏洞,攻击者可利用该漏洞执行任意代码或造成拒绝服务(内存破坏)。此外,Microsoft、Cisco、IBM等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞获取提升的权限、执行任意代码或进行跨站脚本攻击等。另外,WordPress被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行跨站脚本攻击。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。 

 

责任编辑:韩希宇

您有好的观点和精彩的文章,欢迎投稿。投稿邮箱:cebnetnews@cfca.com.cn 。

微信扫一扫,在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP(半刻金融)。

中国电子银行网官方微信 中国电子银行网手机网站 中国电子银行网官方APP
 
 
 
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停

 

新闻推荐

Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证05045998号—2. 京公网安备110102004896号

可信网站