一周信息安全要闻速览:
恶毒且最聪明的后门 可嵌入头发直径千分之一的芯片中
软件中的安全漏洞很难发现。特意种植的那些:间谍或蓄意破坏分子制造的隐藏后门甚至更难发现。想象一个不是种植在应用,或者深深嵌入在操作系统中的恶意软件。它藏得更深,在计算机运行所需的处理器中。
上海开始动手 P2P迎来严打
近期上海银监局将向上海所有P2P网络借贷平台下发一份《网络借贷信息中介机构基本情况调查表》,调查项目和内容十分详尽。主要包含基本情况表和业务情况表两大类,共计几十项调查内容。自此上海监管机构针对上海P2P网络平台摸底排查大幕正式拉开。
Synaptics发布USB加密狗方案:任何笔记本都能指纹识别
该方案基于Synaptics Natural ID安全指纹识别技术,并通过了FIDO安全认证,兼容新广泛,并完全支持Windows Hello、Microsoft Passport,不过没有披露它采用的具体加密方式,不知道是不是AES-。
微软发现自我复制的勒索程序
微软通过其恶意软件保护中心,发现一种新类型的勒索程序,具有自我复制能力,并从一台电脑,通过闪存驱动器,以及网络驱动器移动到另一个电脑。
业内:石基信息亿元收购上海环迅%股权
环迅商务与上市石基信息公司全资子公司北海石基信息技术有限公司同为迅付信息科技有限公司股东,北海石基目前持有迅付科技%股权,迅付科技为北海石基参股子公司。
信息和技术
银联发布最新一批通过安全认证的mPOS名单附名单列表
抽查内容主要包括:一是POS终端安全,重点是个人信息保护、交易安全、软硬件安全等;二是POS终端标准符合性,重点是非接触式受理能力、非接交易流程、功能完备性、用户体验和产品质量等;三是银办发【】号文件落实情况,重点是POS终端非接改造、流程有货等工作进度。>>详细
安全漏洞周报
上周漏洞基本情况
上周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞个,其中高危漏洞个、中危漏洞个、低危漏洞个。漏洞平均分值为分。上周收录的漏洞中,涉及0day漏洞个(占%)。其中互联网上出现“ChitaSoft SQL注入漏洞、Patron Info System SQL注入漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数个,与之前一周(个)环比上升%。
上周重要漏洞信息
1、Apple产品安全漏洞
Apple iOS、watchOS、OSX El Capitan和tvOS都是美国苹果(Apple)公司的产品。AppleiOS是为移动设备所开发的一套操作系统;watchOS是一套智能手表操作系统;OS X El Capitan是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统。kernel是其中的一个内核组件。上周,上述产品被披露存在任意代码执行漏洞,攻击者可利用该漏洞执行任意代码。
CNVD收录的相关漏洞包括:Apple iOS/watchOS/tvOS和OSX El Capitan IOAcceleratorFamily任意代码执行漏洞、Apple iOS/watchOS/tvOS和OSX El Capitan IOAcceleratorFamily任意代码执行漏洞(CNVD-、CNVD-、CNVD-)、AppleiOS/watchOS/tvOS和OS X El Capitan kernel任意代码执行漏洞、Apple iOS/watchOS/tvOS和OSX El Capitan kernel任意代码执行漏洞(CNVD-、CNVD-、CNVD-)等。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、libdwarf产品安全漏洞
libdwarf是一套用于读取和写入DWARF2调试信息的工具。上周,上述产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。
CNVD收录的相关漏洞包括:libdwarf dwarf_line_table_reader.c文件拒绝服务漏洞、libdwarf‘
dwarf_get_macro_startend_file()’函数拒绝服务漏洞、libdwarf dwarf_elf_access.c文件拒绝服务漏洞、 libdwarf ‘print_exprloc_content’函数拒绝服务漏洞、libdwarf‘dwarf_get_xu_hash_entry()’函数拒绝服务漏洞、libdwarf ‘print_frame_inst_bytes()’函数拒绝服务漏洞、libdwarf拒绝服务漏洞、libdwarf‘get_attr_value()’函数拒绝服务漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、IBM产品安全漏洞
IBM RLKS(Rational License Key Server)是美国IBM公司的一款许可证密钥服务器。Administrationand Reporting Tool是其中的一个许可证密钥管理和报告工具。IBM Rational Team Concert(RTC)是一套基于Jazz平台且支持分散团队进行实时相关协作的软件生命周期管理解决方案。 IBM Rational Engineering Lifecycle Manager是美国IBM公司的一套工程生命周期管理软件。IBMInfoSphere Streams是一套数据分析平台。IBM Security AppScan Source是美国IBM公司的一套Web应用的安全测试工具。上周,上述产品被披露存在多个安全漏洞,攻击者利用上述漏洞可执行任意代码、注入任意Web脚本或HTML、泄露敏感信息和发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:IBM RLKS Administration and ReportingTool信息泄露漏洞、IBM Rational Team Concert拒绝服务漏洞、IBM Rational Engineering LifecycleManager跨站脚本漏洞、IBM Rational Engineering Lifecycle Manager跨站脚本漏洞(CNVD-、CNVD-)、 IBM Rational Engineering Lifecycle Manager信息泄露漏洞、IBMInfoSphere Streams权限获取漏洞、IBM Security AppScan Source任意代码执行漏洞。其中,“IBMInfoSphere Streams权限获取漏洞、IBM Security AppScan Source任意代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、Huawei产品安全漏洞
Huawei WearAPP和HiLink都是中国华为(Huawei)公司的产品。前者是一套与智能穿戴设备配套使用的APP,后者是一套华为网络连接终端的统一管理平台。Huawei AC6605等都是中国华为公司的无线接入控制器产品。Huawei Mate 8是中一款智能手机产品。Huawei NGFW Module等都是中国华为公司的防火墙产品。Huawei IPS Module等都是中国华为公司的入侵防御和入侵检测产品。上周,上述产品被披露存在缓冲区溢出、设计缺陷和拒绝服务漏洞,允许攻击者利用漏洞执行任意代码和发起拒绝服务攻击。
CNVD收录的相关漏洞包括:多款Huawei产品拒绝服务漏洞(CNVD-)、HuaweiMate 8缓冲区溢出漏洞(CNVD-)、Huawei Mate 8缓冲区溢出漏洞、多款Huawei产品缓冲区溢出漏洞(CNVD-)、多款Huawei产品缓冲区溢出漏洞、HuaweiWearAPP和HiLink设计缺陷漏洞。其中,“多款Huawei产品拒绝服务漏洞(CNVD-)、多款Huawei产品缓冲区溢出漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Linux kernel拒绝服务漏洞(CNVD-)
Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。上周,Linux被披露存在拒绝服务漏洞,攻击者可利用该漏洞造成拒绝服务(空指针逆向引用)。目前,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。
CFCA评论
小结:上周Apple产品被披露存在任意代码执行漏洞,攻击者利用漏洞可执行任意代码。此外,libdwarf、IBM、Huawei等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞注入任意Web脚本或HTML、泄露敏感信息、执行任意代码和发起拒绝服务攻击等。另外,Linux被披露存在一个高危漏洞,攻击者可利用该漏洞造成拒绝服务(空指针逆向引用)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。