国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞205个,互联网上出现“MicrosoftWindows .CONTACT File/HTML InjectionMailto:远程代码执行漏洞、Allen-Bradley PowerMonitor 1000跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
数据安全问题引担忧 如何给用户一颗“定心丸”?
在数据安全的风险挑战下,全球已经进入空前重视个人数据与隐私保护的时代。我国已经把《个人信息保护法》纳入立法规划,公安部也开展了首次针对大数据安全的整治工作。>>详细
App违规授权成重灾区 网络安全立法酝酿大突破
在这一过程中,还需进一步确定一个国家机关来专门负责“自然人信息保护”工作,同时也需要对《行政处罚法》《网络安全法》等再做相应具体修改,有专家还建议单独制定一部《自然人信息保护法》。>>详细
专家:辩证看待“隐私换便利” 实现数据合规使用
受访专家多数认同,用户享受了大数据带来的便利,但这并不应是简单的“用隐私换便利”。尤其是对于某些所谓的“大数据杀熟”、“贩卖用户隐私数据”等现象,有关部门更应加以规范引导,并适时修订、制定“严刑峻法”予以制裁。>>详细
苹果企业开发者证书遭利用 盗版商发布破解版iPhone应用
非法软件分销商TutuApp、Panda Helper、AppValley及TweakBox已找到方法来利用数字证书访问苹果面向企业推出的一个项目。该项目允许企业在未通过苹果App Store的情况下,可向其员工发布企业应用。>>详细
信息安全人人平等 谷歌推出低性能安卓手机加密技术
数据加密是一种保护个人信息免受窃取的防卫技术,Adiantum的设计目的是加密安卓手机上的存储信息,以确保用户文件的安全性和隐私性。>>详细
谷歌迈出了“干掉”URL的第一步
在湾区Enigma安全会议的一次演讲中,Chrome可用性安全主管Emily Stark便再次提及了这项富有争议的想法,并详细介绍了Google为实现这一目标正在进行的一系列重大变革。>>详细
区块链正在应用于正在兴起的网络安全运动
尽管有关加密货币和交易所的黑客和欺骗的新闻铺天盖地,但事实仍然是,真正的区块链在其不可改变和无法破解的本质中仍未被破坏。>>详细
首例技术定位侵犯公民个人信息案侦破后 黑市仍在叫卖
近日,江苏南京警方破获一起通过技术定位,侵犯公民个人信息案,这起案件在全国也属首例。去年1月,陈某在饭店吃饭时被讨债人围堵,随后陈某报案,警方调查发现,讨债人是通过一款即时定位软件找到的陈某。>>详细
白帽黑客展示了内置Wi-Fi的恶意Lightning数据线
一名黑客利用一个隐藏的Wi-Fi芯片开发了一种验证概念的Lightning数据线,以说明不受信任的附件可能带来的威胁,该芯片可以让黑客获得对Mac的控制权。>>详细
技术观澜
HTTP/3来啦 你还在等什么?赶紧了解一下
当IETF开始进行协议标准化工作时,协议被分为两层:传输部分和HTTP部分。这个想法的初衷是考虑到该传输协议也可用于传输其他数据,而不仅仅用于HTTP或类HTTP协议,但名字仍然为QUIC。>>详细
安全威胁播报
上周漏洞基本情况
上周(2019年01月28日-2019年02月10日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞205个,其中高危漏洞51个、中危漏洞134个、低危漏洞20个。漏洞平均分值为5.80。上周收录的漏洞中,涉及0day漏洞68个(占33%),其中互联网上出现“MicrosoftWindows.CONTACT File/HTML InjectionMailto:远程代码执行漏洞、Allen-Bradley PowerMonitor1000跨站脚本漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在权限提升和拒绝服务漏洞,攻击者可利用漏洞提升权限,造成拒绝服务。
CNVD收录的相关漏洞包括:Google Android System权限提升漏洞(CNVD-2019-03705、CNVD-2019-03707、CNVD-2019-03706、CNVD-2019-03708)、Google Android System组件权限提升漏洞(CNVD-2019-03702、CNVD-2019-03709、CNVD-2019-03710、CNVD-2019-03711)。目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
Apple iOS为移动设备所开发的一套操作系统;macOS High Sierra是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统。Safari是一款Web浏览器,是Mac OSX和iOS操作系统附带的默认浏览器。watchOS是一套智能手表操作系统。iCloudfor Windows是一款基于Windows平台的云服务。上周,上述产品被披露存在缓冲区溢出和内存破坏漏洞,攻击者可利用漏洞执行任意代码(内存破坏)。
CNVD收录的相关漏洞包括:多款Apple产品FaceTime缓冲区溢出漏洞、多款Apple产品Kernel缓冲区溢出漏洞、多款Apple产品SQLite内存破坏漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-03295、CNVD-2019-03296、CNVD-2019-03315、CNVD-2019-03316、CNVD-2019-03317)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
HDF5产品安全漏洞
HDF5是一套免费的用于管理存储不同类型数据的工具套件,它能够管理、操作、查看、分析数据,并生成可移植格式的文件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞造成堆缓冲区越界读取,发起拒绝服务攻击。
CNVD收录的相关漏洞包括:HDF5缓冲区越界读取漏洞、HDF5空指针解引用漏洞(CNVD-2019-03443)、HDF5越界读取漏洞(CNVD-2019-03449)、HDF5拒绝服务漏洞、HDF5缓冲区溢出漏洞(CNVD-2019-03450、CNVD-2019-03453、CNVD-2019-03454、CNVD-2019-03455)。目前,互联网上已经出现了针对上述漏洞的攻击代码,厂商尚未发布上述漏洞的修补程序。
HPE产品安全漏洞