来源:中国电子银行网韩希宇
国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞个,互联网上出现“ZyXELZyWALLUSG跨站请求伪造漏洞、NagiosXI任意命令执行漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
工业和信息化部:开展网络安全技术应用试点示范项目推荐工作
为深入贯彻落实《网络安全法》,加快建设网络强国和制造强国,促进网络安全先进技术协同创新和应用部署,推广网络安全最佳实践,提升网络安全产业发展水平,工业和信息化部在组织三批电信和互联网行业网络安全试点示范的基础上,决定开展网络安全技术应用试点示范项目(以下简称示范项目)推荐工作。详细
招行发布移动财资管理产品CBSApp3.0
CBSAPP3.0和顶级安全机构CFCA联合打造CBS手机安全盾,提供了基于FIDO的统一身份认证体系,能够实现免KEY支付验证。此外,在APP应用本身,也采取多维度的安全保护策略,如数据权限企业统一控制、代码混淆、反编译等一系列防范手段。详细
加速公积金行业信息化建设落地CFCA无纸化方案添薪续力
CFCA通过为公积金中心搭建无纸化基础设施平台,结合互联网技术与PKI技术,实现了专业的档案管理与多模式的电子签名应用,在大力推广公积金服务线上化和无纸化的同时,保证了服务的安全性,为公积金中心综合服务平台保驾护航。详细
汇丰银行数据泄露金融信息安全亟须升级
随着新一轮科技革命的蓄势待发以及互联网、大数据、云计算、人工智能等新兴技术与金融领域的深入结合,全球银行业对信息技术的应用得到全面提升,信息技术在给银行业务办理和组织运营带来方便和高效的同时,也带来了极大的安全隐患。详细
基于内存计算技术的人工智能芯片问世
该芯片基于内存计算技术,旨在克服处理器需要花费大量时间和能量从内存中获取数据的主要瓶颈,通过直接在内存中执行计算,提高速度和效率。详细
泰尔实验室预测:softSIM方案将被淘汰TEE+eSIM应用前景广阔
物联网的世界里,传统插拔SIM卡联网的方式早已不适用,逐步取而代之的是eSIM。详细
幽灵再现:数据泄露漏洞影响英特尔、AMD、ARM芯片
简单讲,恶意用户和恶意软件可利用这组处理器安全漏洞从内存中找出口令、加密密钥等本不应被触及的秘密。目前尚未发现此类漏洞的野生利用实例,但无论如何,它们都给半导体行业敲响了警钟,芯片设计和工具链是必须做出改变了。详细
技术观澜
Java内存模型原理你真的理解吗?
在介绍Java内存模型之前,我们先了解一下物理计算机中的并发问题,理解这些问题可以搞清楚内存模型产生的背景。物理机遇到的并发问题与虚拟机中的情况有不少相似之处,物理机的解决方案对虚拟机的实现有相当的参考意义。详细
Python常见安全漏洞及修复方法集合!
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。详细
这个入门级AI项目让90%的程序员一看就会!
随着AI的发展,美国橡树岭国家实验室的一些专家预测,到年,AI技术将会强大到足以替代程序员。AI技术将会强大到足以替代程序员,AI编写软件将比人类程序员更好、更快。换句话说,软件编写的软件比人类编写的更好。详细
安全威胁播报
上周漏洞基本情况
上周(年11月-12日-年11月18日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞个,其中高危漏洞个、中危漏洞81个、低危漏洞21个。漏洞平均分值为6.53。上周收录的漏洞中,涉及0day漏洞82个(占41%),其中互联网上出现“ZyXELZyWALLUSG跨站请求伪造漏洞、NagiosXI任意命令执行漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Foxit产品安全漏洞
FoxitReaderforWindows是一款基于Windows平台的PDF文档阅读器。FoxitPhantomPDFforWindows是它的商业版。上周,上述产品被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。
CNVD收录的相关漏洞包括:FoxitReader和FoxitPhantomPDFforWindows内存错误引用漏洞(CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
macOS是苹果公司为Mac系列产品开发的专属操作系统。上周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码,导致堆破坏。
CNVD收录的相关漏洞包括:ApplemacOS内存破坏漏洞(CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBMMaximoAssetManagement是一套综合性资产生命周期和维护管理解决方案。IBMRationalCollaborativeLifecycleManagement(CLM)是一套协作化生命周期管理解决方案。IBMRationalQualityManager(RQM)是一套协作的、基于Web的质量管理解决方案。IBMWebSphereMQManagedFileTransfer是其中的一个用于管理系统中文件传输的工具。IBMMQ(前称IBMWebSphereMQ)是一款消息传递中间件产品。IBMSecurityIdentityGovernanceandIntelligenceVirtualAppliance是一套身份管理和治理解决方案。IBMAPIConnect是一种综合的端到端API生命周期解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,发起拒绝服务攻击。
CNVD收录的相关漏洞包括:IBMMaximoAssetManagement跨站脚本漏洞(CNVD--)、IBMJazzFoundation信息泄露漏洞(CNVD--)、多款IBMRational产品信息泄露漏洞(CNVD--)、IBMWebSphereMQManagedFileTransfer信息泄露漏洞、IBMMQ拒绝服务漏洞、IBMSecurityIdentityGovernanceandIntelligenceVirtualAppliance信息泄露漏洞、IBMAPIConnect信息泄露漏洞、IBMRationalQualityManager权限提升漏洞。其中,“IBMRationalQualityManager权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Edge是微软为Windows10打造的浏览器。上周,该产品被披露存在信息泄露和内存破坏漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码。
CNVD收录的相关漏洞包括:MicrosoftEdgeChakra脚本引擎内存破坏漏洞(CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--)、MicrosoftEdge信息泄露漏洞(CNVD--)。上述漏洞的综合评级为“高危”。
libIEC拒绝服务漏洞
libIEC是一个IEC的开源库。上周,libIEC被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务(空指针逆向引用)。
小结
上周,Foxit被披露存在内存错误引用漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。此外,Apple、IBM、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码或发起拒绝服务攻击等。另外,libIEC被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务(空指针逆向引用)。建议相关用户随时