万花镜
    首页社会国际娱乐科技时尚军事汽车探索美食旅游历史健康育儿
    金融电脑品牌社会民生购物股票

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    2017年3月14日 来源: 互联网

    中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞229个,互联网上出现“NetgearDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

    一周信息安全要闻速览

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    巨变:传统手刷或遭淘汰 非接功能手刷将被热捧!

    “降级交易”始终属于过度,央妈觉得过渡期已经够长的了,于是2016年6月13日,央行下发特急文件《中国人民银行关于进一步加强银行卡风险管理的通知》,通知中规定:自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易。各商业银行应采取换卡不换号、实时发卡等措施加快存量磁条卡更换为金融IC卡的进度。>>

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    央行发文规范聚合支付 这四方面是核心

    严格规范聚合支付服务商业务合作,收单机构和聚合支付服务商等外包服务机构开展业务合作的,应当严格执行《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)相关规定。收单机构应当对聚合支付服务商进行全面尽职调查并审慎选择合作机构,通过协议禁止并采取有效措施防止业务转让或转包。>>

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    银联二维码互联互通银行 支付格局或将大变

    从消费者角度看,应用服务方是银联二维码支付安全上至关重要的一环。应用服务方在开展二维码业务前,需要通过银联指定机构认证,并且完成业务开通测试。在绑卡环节中,通过特定的持卡人身份验证方式完成实名认证,也必须确保实名认证用户和绑定银联卡持卡人的一致性。>>

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    Trustwave:中国制GSM语音网关存在Root权限后门

    负责向用户发送challenge的代码就位于设备ROM中的“sbin/login”下,通过对这些代码的逆向分析,安全人员发现只要有challenge的值,黑客就可以计算出对应的MD5哈希值,做出response,完成登录。而challenge完全可以通过一些自动脚本获取。一旦完成以上步骤,黑客就会拥有对设备的完全控制,可以监听流量,或利用其发起DDoS一类的攻击。>>

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    金融行业应用区块链技术面临的安全威胁与防范

    区块链是一个公开的链式账本,其中存储的数据向网络中所有用户公开。而在金融业务场景中,业务规则和监管机构要求保护相关数据的隐私性、完整性等。在存储、传输相应数据时,应该使用哈希函数、同态加密、数字签名等技术保护数据。>>

    支付业变局:5月1日起全面关闭金融IC卡降级交易

    SHA-1碰撞攻击将会对我们产生怎样的现实影响?

    证据表明,攻击者必须在拥有原始文件和已知哈希的情况下才能完成碰撞攻击,另外,由于攻击利用了定向编辑,不是每次编辑都会有效。换句话说,即使是破解了SSH或TLS的认证证书,也都不可能实现,需要对原始文件进行一些非常细微的定向更改才能保证碰撞攻击成功。>>

    安全漏洞周报

    上周漏洞基本情况

    上周信息安全漏洞威胁整体评价级别为中。

    上周共收集、整理信息安全漏洞229个,其中高危漏洞115个、中危漏洞101个、低危漏洞13个。漏洞平均分值为6.28。本周收录的漏洞中,涉及0day漏洞73个(占32%)。其中互联网上出现“NetgearDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。

    上周重要漏洞安全告警

    1、Google产品安全漏洞

    Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Mediaserver是其中的一个多媒体服务组件。Google Chrome是一款流行的Web 浏览器。上周,上述产品被披露存在拒绝服务、跨站脚本和堆溢出代码执行漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。

    相关漏洞包括:Google AndroidMediaserver拒绝服务漏洞( CNVD-2017-02255 )、Google Chrome Blink通用跨站脚本漏洞、Google ChromeBlink通用跨站脚本漏洞(CNVD-2017-02108、CNVD-2017-02109、CNVD-2017-02111)、Google ChromeFFmpeg堆溢出代码执行漏洞、Google Chrome FFmpeg堆溢出代码执行漏洞(CNVD-2017-02110)、Google ChromeSkia 堆溢出代码执行漏洞。其中,“Google Android Mediaserver拒绝服务漏洞(CNVD-2017-02255)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。再此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    2、IBM存在产品安全漏洞

    IBM Maximo AssetManagement是美国IBM公司的一款资产管理生命周期和工作流过程管理系统。IBM Development Packagefor Apache Spark是一款软件开发包。IBM iNotes是美国一套基于Web的电子邮件软件。IBMIntegration Bus是一款企业服务总线(ESB)产品。IBM WebSphereMessage Broker是一款企业服务总线产品。IBM Rational DOORS Next Generation是一款需求管理解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或发起拒绝服务攻击等。

    相关漏洞包括:IBMDevelopment Package for Apache Spark拒绝服务漏洞、IBM iNotes跨站脚本漏洞(CNVD-2017-02343)、IBMIntegration Bus和WebSphere Message Broker XML外部实体注入漏洞、IBM RationalDOORS Next Generation信息泄露漏洞、IBM Rational Rhapsody Design Manager XML外部实体注入漏洞、IBM WebSphereMessage Broker点击劫持漏洞、多款IBM产品本地信息泄露漏洞、多款IBM产品跨站脚本漏洞(CNVD-2017-02280)。其中,“IBMIntegration Bus和WebSphere Message Broker XML外部实体注入漏洞、IBM RationalRhapsody Design Manager XML外部实体注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。再此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    3、Joomla产品安全漏洞

    Joomla是一款开放源码的内容管理系统(CMS)。上周,该产品被披露存在SQL注入漏洞,攻击者可利用漏洞访问或修改数据库数据。

    相关漏洞包括:Joomlacom_civicrm组件'id'参数SQL注入漏洞、Joomlacom_comprofiler组件SQL注入漏洞、Joomla com_fsf组件'catid'参数SQL注入漏洞、Joomlacom_glossary组件'id'参数SQL注入漏洞、Joomlacom_jajobboard组件SQL注入漏洞、Joomla com_jumi组件SQL注入漏洞、Joomla com_k2组件'id'参数SQL注入漏洞、Joomlacom_sgpprojects组件SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商尚未发布该漏洞的修补程序。再此,提醒广大用户随时关注厂商主页,以获取最新版本。

    4、tcpdump产品安全漏洞

    tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。上周,该产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码。

    相关漏洞包括:tcpdump缓冲区溢出漏洞(CNVD-2017-02235、CNVD-2017-02236、CNVD-2017-02237、CNVD-2017-02238、CNVD-2017-02239、CNVD-2017-02240、CNVD-2017-02241、CNVD-2017-02242)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。再此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    5、WordPress Kama插件Click Counter SQL注入漏洞

    WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,WordPress被披露存在SQL注入漏洞,攻击者可利用该漏洞访问或修改数据,泄露敏感信息。目前,厂商尚未发布该漏洞的修补程序。再此,提醒广大用户随时关注厂商主页,以获取最新版本。

    专家点评和建议

    中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Google被披露存在拒绝服务、跨站脚本和堆溢出代码执行漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。此外,IBM、Joomla、tcpdump等多款产品被披露存在多个漏洞,攻击者利用漏洞可泄露敏感信息、进行跨站脚本攻击、执行任意代码或发起拒绝服务攻击等。另外,WordPress被披露存在SQL注入漏洞,攻击者可利用该漏洞访问或修改数据,泄露敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    位置:首页 > 科技
    加载更多评论...
    本类推荐
    三款变两款!Google取消代号为muskie的Pixel设备
    三款变两款!Google取消代号为muskie的Pixel设备

    根据此前各种曝光的媒体消息,Google正在准备发布三款全新Pixel 2智能手机,但是目前看来,可能情况有变。雷锋网消息,根据外媒Android Police今日(6月13日)报道,Google已经砍掉了代号为“muskie”的设备...

    中国银行业大洗牌!四大行牵手四大互联网巨头,谋一个大局!
    中国银行业大洗牌!四大行牵手四大互联网巨头,谋一个大局!

    央视财经新媒体合作伙伴 广告近日,工、农、中、建四大国有银行和四大互联网巨头陆续开展合作活动,为金融服务变革注入了想象力。腾讯牵手中国银行6月22日,中国银行对外宣布,“中国银行—腾讯金融科技联合实验室”挂牌成立...

    IBM将制造5纳米芯片指甲大小能集成300亿个晶体管
    IBM将制造5纳米芯片指甲大小能集成300亿个晶体管

    上方“IEEE电气电子工程师学会”即可订阅公众号。网罗全球科技前沿动态,为科研创业打开脑洞。IBM日前在日本京都宣布,该公司研究团队在晶体管的制造上取得了巨大的突破——在一个指甲大小的芯片上,从200亿个7纳米晶体管飞跃到了300亿个5纳米晶体管。

    Google和必应都无法替代的10大深网搜索引擎
    Google和必应都无法替代的10大深网搜索引擎

    当我们想要搜索某些内容时,我们第一个想到的就是打开Google、百度或必应这类的搜索引擎。但针对有些内容,却是这些常规搜索引擎无法获取到的,那就是隐藏在深网的内容。据不完全统计,深网的信息量为表层网络的500倍。

    高速路上换引擎押宝“认知”的IBM胜算几何?
    高速路上换引擎押宝“认知”的IBM胜算几何?

    导语:【懂懂笔记】于5月10日,发布了《巴菲特清仓IBM的背后:战略领先十年,模式落后百年》的文章,引起读者的广泛关注和讨论。一些读者主动与【懂懂笔记】联系,分享自己对IBM的看法。综合大量的信息,本期再发一篇文章,对IBM转型继续深入分析与探讨。

    他曾是美国五大富豪、华人首富!如今只成为一段历史
    他曾是美国五大富豪、华人首富!如今只成为一段历史

    一提到微软、苹果、IBM这样的计算机巨头,大家一定是再熟悉不过了。但是如果提到“王安电脑”这四个字,估计没有几个人清楚它的历史。在上个世界的六七十年代,这个曾迅速登上巅峰的电脑公司,这家创造华人世界商业奇迹的企业,实在是像一阵巨大的龙卷风,来得太快,也去得太快了。

    IBM“第8格”丨教你30分钟快速搭建AI应用,你信么?
    IBM“第8格”丨教你30分钟快速搭建AI应用,你信么?

    “你知道,国王-男人+女人=什么吗? 答案是:女王! ”想知道为什么?因为……如上图,我们可以看到,国王减去男人这个属性再加上女人这个属性,就是女王。同理,北京-中国+德国=柏林。首都北京减去国家的属性,附上另一个国家的属性,就是那个国家的首都,柏林。

    用更精确的单量子检测,IBM想尽快实现室温下的量子热管理
    用更精确的单量子检测,IBM想尽快实现室温下的量子热管理

    在室温状态下对单原子进行热量测量,这一直是没有被攻克的难题,也是关乎量子应用中热量管理的一个重要影响方面。近日,来自 IBM 苏黎世的研究团队成功对金量子进行了点接触热传导测量,这也是人类史上第一次完成对量子级别单位热量的准确测量。

    为什么阿里、苏宁、乐视都开始进军银行业?
    为什么阿里、苏宁、乐视都开始进军银行业?

    金融始终都是与人们生活息息相关的存在,无论是在传统时代还是在互联网时代,它都在以不同的方式影响着我们的日常生活。正是因为如此,所以我们才会看到几乎所有的企业都会殊途同归地最后进入到了金融领域之中。继马云的网商银行获得批复之后,最近苏宁、乐视等互联网公司都开始宣布要进军银行市场。

    四大行终于将互联网巨头“瓜分”完毕,是强强联合还是以身饲虎?
    四大行终于将互联网巨头“瓜分”完毕,是强强联合还是以身饲虎?

    6月22日,中国银行官方网站发布公告,宣布中国银行与腾讯在内蒙古正式挂牌成立“中国银行-腾讯金融科技联合实验室”,双方重点基于云计算、大数据和人工智能等全面开展深度合作。至此,四大行终于将BATJ(百度、阿里、腾讯、京东)四大互联网巨头“瓜分”完毕。

    GoogleHome为何被AmazonEcho打得落花流水
    GoogleHome为何被AmazonEcho打得落花流水

    若想连续在两个时代有所成就,那思维就必须有足够的高度,亚马逊已证明自己有能力取得跨时代的成就,Google还没有李智勇 |文来自eMarketer的数据显示,在今年一季度美国语音助手市场中,Amazon Echo市场份额达70...

    自己就是豪门,四大行为何牵手四大互联网巨头?
    自己就是豪门,四大行为何牵手四大互联网巨头?

    近日,工、农、中、建四大国有银行和四大互联网巨头陆续开展合作活动,为金融服务变革注入了想象力。牵手BATJ!四大行都齐了腾讯牵手中国银行6月22日,中国银行对外宣布,“中国银行—腾讯金融科技联合实验室”挂牌成立...

    延伸热词
    首页社会国际娱乐科技时尚军事汽车探索美食旅游历史健康育儿
    万花镜 版权所有 京ICP备14059027号
    值班QQ:3012642954
    邮箱:wanhuajingnews@qq.com