Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

特殊质数“陷阱门”可破解加密通信

$
0
0
特殊质数“陷阱门”可破解加密通信

一点号中国电子银行网昨天

中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞255个,互联网上出现“FreePBX远程命令执行漏洞(CNVD-2016-08542)、NetMan 204后门账户漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。


php?url=0EhwjRQefu" alt="特殊质数“陷阱门”可破解加密通信" />

一周信息安全要闻速览

NSA后门可让攻击者轻松解密HTTPS、VPN加密流量

研究人员发明了一种新办法,可以在使用加密体系保护的网站、VPN和互联网服务器中放入不被检测的后门,这一壮举使得黑客可以轻松解密数以亿计的加密通信和密钥。

教育部对校园贷出大杀招:建立校园不良网络借贷日常监测机制

《通知》指出,做好校园网贷风险防范工作。提升防范能力,教育引导新生谨慎使用个人信息,不随意填写和泄露个人信息;对于推销的网贷产品,切勿盲目信任,尤其警惕熟人推销,增强学生对网贷业务甄别、抵制能力,保护自身合法权益。

国办:要求第三方支付机构不得连接多家银行系统

《实施方案》明确,非银行支付机构不得连接多家银行系统,变相开展跨行清算业务。非银行支付机构开展跨行支付业务应通过人民银行跨行清算系统或者具有合法资质的清算机构进行。

银联与亚洲支付联盟7家会员机构达成芯片卡标准授权合作

银联宣布与亚洲支付联盟(APN)7家会员机构达成芯片卡标准授权合作,新加坡、泰国、韩国、马来西亚、印尼、菲律宾等国家的主流转接网络将把银联芯片卡标准作为受理、发卡业务的技术标准。

MongoDB再出安全事故 5800万商业用户信息泄露

知名数据库及数据存储服务提供商MBS,近日遭到黑客攻击。其MongoDB数据库由于缺乏有效的安全保护措施,5800万商业用户的重要信息泄露,包括名称、IP地址、邮件账号、职业、车辆数据、出生日期等信息。

安全漏洞周报

本周漏洞基本情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞255个,其中高危漏洞85个、中危漏洞151个、低危漏洞19个。漏洞平均分值为6.00。本周收录的漏洞中,涉及0day漏洞90个(占36%)。其中互联网上出现“FreePBX远程命令执行漏洞(CNVD-2016-08542)、NetMan 204后门账户漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数768个,与上周(1517个)环比下降50%。

本周重要漏洞信息

1、Microsoft产品安全漏洞

10月11日,微软发布了2016年10月份的月度例行安全公告,共含10项更新,修复了Microsoftwindows、InternetExplorer、Edge、Office、Office Services 、.NET Framework、Lync和Skype forBusiness、Web Apps、Adobe Flash Player中存在的36个安全漏洞。其中,5项远程代码更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可提升权限,远程执行任意代码。CNVD提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

CNVD收录的相关漏洞包括:MicrosoftWindows Video Control远程代码执行漏洞、Microsoft Internet Explorer和Edge远程权限提升洞、MicrosoftWindows内核Win32k特权提取漏洞、Microsoft Windows Diagnostics Hub本地权限提升漏洞、Microsoft Edge脚本引擎信息泄露漏洞、Microsoft Edge安全绕过漏洞、MicrosoftInternet Explorer远程信息泄露漏洞、Microsoft InternetExplorer和Edge远程内存破坏漏洞等。除“Microsoft Edge脚本引擎信息泄露漏洞、Microsoft Edge安全绕过漏洞、MicrosoftInternet Explorer远程信息泄露漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

2、X.Org产品安全漏洞

X.Org libXi是X.Org基金会运作的一个X输入扩展库。X.Org libX11是一个X11(X Window系统)客户端库。X.Org libXv是一个X Video扩展专属的基于Xlib的客户端库。X.Org libXvMC是一个X-Video MotionCompensation API专属的基于Xlib的客户端库。X.OrglibXrender是一个Render扩展专属的轻量级的库接口。本周,上述产品被披露存拒绝服务和内存破坏漏洞,攻击者可利用漏洞发起拒绝服务攻击。

CNVD收录的相关漏洞包括:X.Org libXi拒绝服务漏洞、X.Org libXi拒绝服务漏洞(CNVD-2016-08890)、X.Org libX11拒绝服务漏洞、X.Org libX11拒绝服务漏洞(CNVD-2016-08893)、X.Org libXv内存破坏漏洞、X.Org libXvMC内存破坏漏洞、X.OrglibXrender拒绝服务漏洞、X.OrglibXrender拒绝服务漏洞(CNVD-2016-08886)等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

3、Cisco产品安全漏洞

Cisco Unified Contact Center Express(Unified CCX)和Cisco UnifiedIntelligence Center(CUIC)都是美国思科(Cisco)公司的产品。Cisco Nexus7000 Series Switches是一个模块化数据中心级产品系列。Cisco FirepowerManagement Center是新一代防火墙管理中心软件。Cisco IOS XR Software是IOS软件系列(包括IOS T、IOS S和IOS XR)中的一套完全模块化、分布式的网络操作系统。本周,上述产品被披露存在多个漏洞漏洞,攻击者可利用漏洞造成跨站脚本攻击、远程执行任意代码或发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Cisco UnifiedIntelligence Center跨站脚本漏洞、Cisco Nexus 7000/7700 OTV缓冲区溢出漏洞、CiscoFirepower Management Center Console本地文件包含漏洞、CiscoFirepower Threat Management Console拒绝服务漏洞、CiscoFirepower Threat Management Console远程命令执行漏洞、CiscoFirepower Management Center Console认证绕过漏洞、Cisco IOS XRSoftware拒绝服务漏洞(CNVD-2016-08560)等。其中,“Cisco Nexus7000/7700 OTV缓冲区溢出漏洞”的综合评级为“高危”。目前,厂商已经发布了除“Cisco Firepower ThreatManagement Console拒绝服务漏洞、Cisco IOS XR Software拒绝服务漏洞(CNVD-2016-08560)”外漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

4、ImageMagick产品安全漏洞

ImageMagick是美国ImageMagickStudio公司的一套开源的图象处理软件。本周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。

CNVD收录的相关漏洞包括:ImageMagick拒绝服务漏洞(CNVD-2016-08638、CNVD-2016-08684、CNVD-2016-08683、CNVD-2016-08682、CNVD-2016-08639)、ImageMagick'coders/viff.c'拒绝服务漏洞、imagemagick mogrify拒绝服务漏洞、ImageMagick ‘MagickCore/memory.c’拒绝服务漏洞等。目前,厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

5、北京三维天地物资供应资源管理信息系统xxbh参数存在SQL注入漏洞

物资供应资源管理信息系统是一款在国内外先进的现代化企业管理理论和管理方法的基础上发展起来的企业管理软件。本周,北京三维天地物资供应资源管理信息系统被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。目前,厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页,以获取最新版本。

专家点评和建议

中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结: 10月11日,微软发布了2016年10月份的月度例行安全公告,共含10项更新,修复了MicrosoftWindows、Internet Explorer、Edge、Office、Office Services 、.NET Framework、Lync和Skype for Business、Web Apps、Adobe Flash Player中存在多个安全漏洞,攻击者可提升权限,远程执行任意代码。此外, X.Org、Cisco、ImageMagick等多款产品被披露存在多个安全漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行未授权操作等。另外,北京三维天地物资供应资源管理信息系统被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

责任编辑:韩希宇


Viewing all articles
Browse latest Browse all 12749

Trending Articles