“攻击者来自未来” 2019信息安全仍是主议题

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞225个,互联网上出现“WhatsApp远程内存破坏漏洞、inxeduSQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  在2018年,包括3D结构光、TOF(时间飞行)两大方案都开始在国产头部厂商的旗舰机型中商用。与此同时,智能门锁、公共交通等场景中开始大规模推动。随着成本逐步降低,在接下来的物联网时代,将会有更多搭载生物识别技术的智能终端出现。详细

  CFCA全浏览器证书应用工具,通过构建安全、便捷的证书应用环境,在数字证书实际应用中,不仅能够实现浏览器扩展方式相同的功能效果,而且带来了极佳的用户体验,势必将加速数字证书在各行业的广泛应用,为推进行业信息化发展注入新动能。详细

  当前互联网资产存在的安全漏洞、安全弱点等安全问题,已经逐渐成为网络安全威胁的重要因素。详细

  1月10日,中国网信办发布《区块链信息服务管理规定》,2019年2月15日起施行。详细

  特斯拉其实自2014年起就推出了悬赏寻找汽车软件漏洞的项目,奖励那些发现并上报漏洞的黑客,并与黑客社区建立了公共关系,一直成长发展至今。详细

  WhatsApp的安全得益于端到端加密,使得被截获的消息无法解密。虽然这对消费者和隐私维权人士来说是个好消息,但对执法部门来说也是个坏消息,除非公司同意提供后门,让他们访问嫌疑人的WhatsApp通讯记录,否则执法人员将面临加密问题。详细

  虽然攻击方运用了一些常见的手法,但此次与以往遇到过的由伊朗方面发起的大规模DNS劫持不同。这些攻击者使用这种技术作为他们的基石,并通过多种方式去利用它。详细

  session应用相对安全但也繁琐,同时当多页面多请求时必须采用多Token同时生成的方法,这样占用更多资源,执行效率会降低。但是对安全性的提升是明显的,对于表单的重复提交、基于单个数据包的变形扫描、解决CSRF漏洞也不是一种不错的方式。详细

  上周(2019年01月07日-2019年01月13日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞225个,其中高危漏洞68个、中危漏洞139个、低危漏洞18个。漏洞平均分值为5.94。上周收录的漏洞中,涉及0day漏洞134个(占60%),其中互联网上出现“WhatsApp远程内存破坏漏洞、inxeduSQL注入漏洞”等零日代码攻击漏洞。

  Microsoft Word是一款文字处理软件。Microsoft Excel是一款电子表格处理软件。Microsoft PowerPoint是一个文档演示工具。Microsoft Exchange Server是一套电子邮件服务程序,它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft Windows 10、WindowsServer 2019等都是美国微软(Microsoft)公司发布的一系列操作系统。Windows Hyper-V是其中的一个虚拟化产品,支持在Windows中创建虚拟机。Edge是其中的一个系统附带的浏览器。ChakraCore是使用在Edge的一个开源的Java引擎的核心部分,也可作为单独的Java引擎使用。上周,上述产品被披露存在远程执行代码漏洞,攻击者可利用漏洞在系统用户的上下文中执行任意代码。

  SIEMENS SIMATIC S7-1500是模块化结构的控制器系列产品。SIEMENS SIMATIC S7-300CPU是一款用于制造行业的模块化通用控制器。SIEMENS CP1604是用于将PCI-104系统连接到PROFINET IO。SIEMENS CP1616是一种创新产品,安装在PC中,用于PROFINET通讯。SIEMENS是凭借电气化、自动化和数字化领域的创新,在发电和输配电、基础设施、工业自动化、驱动和软件等领域为客户提供解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击等。

  radare2是一套用来处理二进制文件的库和工具。上周,上述产品被披露存在缓冲区溢出和拒绝服务漏洞,攻击者可利用漏洞造成拒绝服务(应用程序崩溃)。

  TerraMaster TOS是一套基于Linux平台开发的存储服务器专用操作系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞执行SQL查询、泄露敏感信息、执行系统命令。

  August Connect是一款用于支持Wi-Fi 和智能锁连接的网桥设备。上周,August Connect被披露存在信息泄露漏洞。攻击者可利用该漏洞获取家用Wi-Fi凭证。

  上周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞在系统用户的上下文中执行任意代码。此外,SIEMENS、Radare、TerraMaster等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行SQL查询、泄露敏感信息、执行系统命令或发起拒绝服务攻击等。另外,August Connect被披露存在信息泄露漏洞。攻击者可利用该漏洞获取家用Wi-Fi凭证。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、21世纪经济报道、TechWeb、移动支付网、快科技、嘶吼RoarTalk报道返回搜狐,查看更多

您可能还会对下面的文章感兴趣: