302 Found

The requested resource resides temporarily under a different URI.


Powered by Tengine

信息安全周报:威瑞森150万客户信息泄露

2016-04-05 11:39
来源:中国电子银行网综合
字号:

  一周要闻速览:

  【专门发布数据泄露报告的威瑞森150万客户信息泄露】

  威瑞森最近承认其公司的网络系统中存在一个漏洞,被黑客利用并访问了客户的个人信息。虽然公司声称已经修复了此漏洞并通知了那些用户,但是威瑞森并没有给出具体受此漏洞影响的客户的数字,同时表示,这起网络攻击的入侵者并不能获得用户的所有信息,例如通话记录或者账单信息等。>>详细

  【认证不完善用户支付转账将受限】

  中国人民银行去年底发布了《非银行支付机构网络支付业务管理办法》,这份今年7月1日开始运行的“支付新规”,让微信、支付宝等国内第三方支付平台纷纷加快了用户实名认证的步伐。7月实名认证不完善的用户,其余额支付和转账等功能会受到限制。>>详细

  【谷歌关闭移动支付“银行卡” 曾支持ATM取款】

  谷歌的移动支付产品,进行了重大调整,曾经的明星“谷歌钱包”逐步被边缘化,“安卓支付”已经成为谷歌在全世界重点推广的手机支付工具。作为这一调整计划的一部分,3月31日,谷歌对外宣布,曾经支持柜员机取款的“谷歌钱包卡”将停止相关的支持服务。>>详细

  信息和技术:

  【央行、银监会联合发文鼓励消费金融】

  《意见》指出,要推动专业化消费金融组织发展,鼓励有条件的银行业金融机构围绕新消费领域设立特色专营机构、完善配套机制,推进消费金融公司设立常态化,鼓励消费金融公司针对细分市场提供特色服务。>>详细

  安全漏洞周报:

  上周漏洞基本情况

  上周信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞115个,其中高危漏洞30个、中危漏洞79个、低危漏洞6个。漏洞平均分值为6.16分。上周收录的漏洞中,涉及0day漏洞7个(占6%)。其中互联网上出现“GonafishLinksCaffe身份验证绕过漏洞”零日代码攻击漏洞,请使用相关产品的用户注意加强防范。上周,互联网上披露了“Linux Kernel 'fs/pipe.c'存在多个本地内存破坏漏洞”,CNVD提醒用户及时下载补丁更新。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数554个,与之前一周(906个)环比下降39%。

  上周重要漏洞信息

  1、Linux产品安全漏洞

  Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。上周,该产品被披露存在内存泄露和内存破坏漏洞,远程攻击者可利用漏洞泄露内核内存、造成系统崩溃或提升系统权限。

  CNVD收录的相关漏洞包括:Linux kernel内存泄露漏洞、Linux Kernel 'fs/pipe.c'存在多个本地内存破坏漏洞。其中,“Linux Kernel 'fs/pipe.c'存在多个本地内存破坏漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  2、Apple产品安全漏洞

  Apple iOS、OS X、tvOS和watchOS都是美国苹果(Apple)公司的产品。Apple iOS是为移动设备所开发的一套操作系统;OS X是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统;watchOS是一套智能手表操作系统。kernel是其中的一个内核组件。上周,上述产品被披露存在内存破坏、拒绝服务和远程代码执行漏洞等,远程攻击者可利用漏洞执行任意代码或发起拒绝服务攻击等。

  CNVD收录的相关漏洞包括:Apple OS X kernel内存破坏漏洞、多款Apple产品kernel内存破坏漏洞、多款Apple产品kernel拒绝服务漏洞、多款Apple产品kernel任意代码执行漏洞、Apple OS X NVIDIA Graphics Drivers内存破坏漏洞、Apple OS X dyld任意代码执行漏洞、Apple OS X Carbon内存破坏漏洞、Apple OS X AppleRAID组件内存破坏漏洞等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  3、Moodle产品安全漏洞

  Moodle是澳大利亚马丁-多基马(Martin Dougiamas)博士开发的一套免费、开源的电子学习软件平台,也称课程管理系统、学习管理系统或虚拟学习环境。上周,该产品被披露存在设计漏洞、跨站脚本和跨站请求伪造漏洞等,远程攻击者可利用漏洞进行跨站脚本和跨站请求伪造攻击等。

  CNVD收录的相关漏洞包括:Moodle 'mod_assign_save_submission'函数设计漏洞、Moodle Assignment插件跨站请求伪造漏洞、Moodle 'get_calendar_events'函数设计漏洞、Moodle Single View设计漏洞、Moodle Event Monitor设计漏洞、Moodle mod_data高级搜索跨站脚本漏洞、Moodle设计漏洞(CNVD-2016-01812、CNVD-2016-01813)等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  4、Foxit产品安全漏洞

  Foxit Reader是一款小型的PDF文档查看器和打印程序。PhantomPDF是通用的PDF编辑器。上周,上述产品被披露存在信息泄露和远程代码执行漏洞,攻击者利用漏洞可获取敏感信息和执行任意代码。

  CNVD收录的相关漏洞包括:Foxit PhantomPDF Signature字段内存错误引用远程代码执行漏洞、Foxit Reader修订号内存错误引用远程代码执行漏洞、Foxit Reader Format操作内存错误引用远程代码执行漏洞、Foxit Reader XFA preOpen内存错误引用远程代码执行漏洞、Foxit Reader XFA Page prePrint事件内存错误引用远程代码执行漏洞、Foxit PhantomPDFListBox值内存错误引用远程代码执行漏洞、Foxit Reader ConvertToPDF JPEG越界读信息泄露漏洞、Foxit Reader ConvertToPDF GIF解析越界读信息泄露漏洞。目前,厂商已发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  5、IBMTivoli NetView Access Services权限获取漏洞

  IBM Tivoli NetView Access Services(NVAS)是美国IBM公司的一套支持从一个终端同时访问多个应用程序的会话管理工具。上周,IBM Tivoli NetView Access Services(NVAS)被披露存在权限获取漏洞,攻击者可利用漏洞获取权限。目前,厂商尚未发布漏洞修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

  CFCA评论:

  小结:上周,Linux产品被披露存在内存泄露和内存破坏漏洞,远程攻击者可利用漏洞泄露内核内存、造成系统崩溃或提升系统权限。此外,Apple、Moodle、Foxit等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息、进行跨站脚本和跨站请求伪造攻击、执行任意代码和发起决绝服务攻击等。另外,IBM Tivoli NetView Access Services(NVAS)被披露存在一个高危漏洞,攻击者可利用漏洞获取权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

 

责任编辑:韩希宇

您有好的观点和精彩的文章,欢迎投稿。投稿邮箱:cebnetnews@cfca.com.cn 。

微信扫一扫,在这里读懂新金融。欢迎扫描下方二维码关注中国电子银行网官方微信、浏览手机网站或下载官方APP(半刻金融)。

中国电子银行网官方微信 中国电子银行网手机网站 中国电子银行网官方APP
 
 
 
总是会有福利从这里发出……
手机上省流量看资讯
创新引领 半刻不停

 

新闻推荐

Copyright 中国电子银行网 2009,All Rights Reserved 京ICP证05045998号—2. 京公网安备110102004896号

可信网站