(原标题:“攻击者来自未来” 2019信息安全仍是主议题)
国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞225个,互联网上出现“WhatsApp远程内存破坏漏洞、inxeduSQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
生物识别技术2018盘点:面部识别突进 安全仍是主议题
在2018年,包括3D结构光、TOF(时间飞行)两大方案都开始在国产头部厂商的旗舰机型中商用。与此同时,智能门锁、公共交通等场景中开始大规模推动。随着成本逐步降低,在接下来的物联网时代,将会有更多搭载生物识别技术的智能终端出现。>>
CFCA全浏览器证书应用工具 提升用户新体验
CFCA全浏览器证书应用工具,通过构建安全、便捷的证书应用环境,在数字证书实际应用中,不仅能够实现浏览器扩展方式相同的功能效果,而且带来了极佳的用户体验,势必将加速数字证书在各行业的广泛应用,为推进行业信息化发展注入新动能。>>
腾讯安全发布信息泄露报告:暗网成信息贩卖主要渠道
当前互联网资产存在的安全漏洞、安全弱点等安全问题,已经逐渐成为网络安全威胁的重要因素。>>
网信办发布区块链信息服务管理规定 要求履行备案手续
1月10日,中国网信办发布《区块链信息服务管理规定》,2019年2月15日起施行。>>
特斯拉鼓励黑客找出旗下汽车漏洞:可获赠Model 3
特斯拉其实自2014年起就推出了悬赏寻找汽车软件漏洞的项目,奖励那些发现并上报漏洞的黑客,并与黑客社区建立了公共关系,一直成长发展至今。>>
技术观澜
解密WhatsApp备份的新方法
WhatsApp的安全得益于端到端加密,使得被截获的消息无法解密。虽然这对消费者和隐私维权人士来说是个好消息,但对执法部门来说也是个坏消息,除非公司同意提供后门,让他们访问嫌疑人的WhatsApp通讯记录,否则执法人员将面临加密问题。>>
全球DNS劫持活动:规模化DNS记录操作
虽然攻击方运用了一些常见的手法,但此次与以往遇到过的由伊朗方面发起的大规模DNS劫持不同。这些攻击者使用这种技术作为他们的基石,并通过多种方式去利用它。>>
浅谈php表单安全中Token的实际应用
session应用相对安全但也繁琐,同时当多页面多请求时必须采用多Token同时生成的方法,这样占用更多资源,执行效率会降低。但是对安全性的提升是明显的,对于表单的重复提交、基于单个数据包的变形扫描、解决CSRF漏洞也不是一种不错的方式。>>
安全威胁播报
上周漏洞基本情况
上周(2019年01月07日-2019年01月13日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞225个,其中高危漏洞68个、中危漏洞139个、低危漏洞18个。漏洞平均分值为5.94。上周收录的漏洞中,涉及0day漏洞134个(占60%),其中互联网上出现“WhatsApp远程内存破坏漏洞、inxeduSQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft Word是一款文字处理软件。Microsoft Excel是一款电子表格处理软件。Microsoft PowerPoint是一个文档演示工具。Microsoft Exchange Server是一套电子邮件服务程序,它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft Windows 10、WindowsServer 2019等都是美国微软(Microsoft)公司发布的一系列操作系统。Windows Hyper-V是其中的一个虚拟化产品,支持在Windows中创建虚拟机。Edge是其中的一个系统附带的浏览器。ChakraCore是使用在Edge的一个开源的JavaScript引擎的核心部分,也可作为单独的JavaScript引擎使用。上周,上述产品被披露存在远程执行代码漏洞,攻击者可利用漏洞在系统用户的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Microsoft Word远程代码执行漏洞(CNVD-2019-00630)、Microsoft Excel远程代码执行漏洞(CNVD2019-00635)、Microsoft Chakra Scripting Engine远程内存破坏漏洞、Microsoft Windows DHCP Client远程代码执行漏洞、Microsoft PowerPoint远程代码执行漏洞(CNVD-2019-00804)、Microsoft Windows Hyper-V远程代码执行漏洞(CNVD-2019-00958、CNVD-2019-00962)、Microsoft Exchange Server远程执行代码漏洞。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
SIEMENS产品安全漏洞
SIEMENS SIMATIC S7-1500是模块化结构的控制器系列产品。SIEMENS SIMATIC S7-300 CPU是一款用于制造行业的模块化通用控制器。SIEMENS CP1604是用于将PCI-104系统连接到PROFINET IO。SIEMENS CP1616是一种创新产品,安装在PC中,用于PROFINET通讯。SIEMENS是凭借电气化、自动化和数字化领域的创新,在发电和输配电、基础设施、工业自动化、驱动和软件等领域为客户提供解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:SIEMENS SIMATIC S7-1500CPU拒绝服务漏洞(CNVD-2019-00984、CNVD-2019-00985)、SIEMENS SIMATIC S7-300 CPU拒绝服务漏洞(CNVD-2019-00986)、SIEMENS CP1604和CP1616设备拒绝服务漏洞、SIEMENS CP1604和CP1616设备跨站脚本漏洞、SIEMENS CP1604和CP1616设备跨站请求伪造漏洞、SIEMENS ICAM A8000系列拒绝服务漏洞。其中,“SIEMENS SIMATICS7-1500 CPU拒绝服务漏洞(CNVD-2019-00984、CNVD-2019-00985)、SIEMENS SIMATIC S7-300 CPU拒绝服务漏洞(CNVD-2019-00986)、SIEMENS CP1604和CP1616设备拒绝服务漏洞”的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Radare产品安全漏洞
radare2是一套用来处理二进制文件的库和工具。上周,上述产品被披露存在缓冲区溢出和拒绝服务漏洞,攻击者可利用漏洞造成拒绝服务(应用程序崩溃)。
CNVD收录的相关漏洞包括: radare2'parseOperands'函数栈缓冲区溢出漏洞、radare2 'armass_assemble'函数堆缓冲区溢出漏洞、radare2 'r_bin_dyldcache_extract' 函数堆缓冲区溢出漏洞、radare2 'assemble'函数堆缓冲区溢出漏洞、radare2 'getToken'函数拒绝服务漏洞、radare2 'parseOperand'函数拒绝服务漏洞、radare2 'parseOperand'函数栈缓冲区溢出漏洞、radare2'core_anal_bytes'函数堆缓冲区溢出漏洞。目前,厂商已经发布了上述漏洞的修补程序。
TerraMaster品安全漏洞
TerraMaster TOS是一套基于Linux平台开发的存储服务器专用操作系统。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞执行SQL查询、泄露敏感信息、执行系统命令。
CNVD收录的相关漏洞包括:TerraMaster TOS目录遍历漏洞、TerraMaster TOS跨站脚本漏洞(CNVD-2019-00660)、TerraMaster TOS系统命令注入漏洞(CNVD-2019-00661、CNVD-2019-00663、CNVD-2019-00665)、TerraMaster TOS会话固定漏洞、TerraMaster TOS会话泄露漏洞、TerraMaster TOS SQL注入漏洞。其中,“TerraMaster TOS系统命令注入漏洞(CNVD-2019-00661、CNVD-2019-00663、CNVD-2019-00665) 、TerraMaster TOS SQL注入漏洞”的综合评级为为“高危”。目前,厂商尚未发布上述漏洞的修补程序。
August Connect信息泄露漏洞
August Connect是一款用于支持Wi-Fi 和智能锁连接的网桥设备。上周,August Connect被披露存在信息泄露漏洞。攻击者可利用该漏洞获取家用Wi-Fi凭证。
小结
上周,Microsoft被披露存在多个漏洞,攻击者可利用漏洞在系统用户的上下文中执行任意代码。此外,SIEMENS、Radare、TerraMaster等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行SQL查询、泄露敏感信息、执行系统命令或发起拒绝服务攻击等。另外,August Connect被披露存在信息泄露漏洞。攻击者可利用该漏洞获取家用Wi-Fi凭证。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、21世纪经济报道、TechWeb、移动支付网、快科技、FreebuF.COM、嘶吼RoarTalk报道