避免大規模生物識別資料洩露之策 小額雙免盜刷難！持卡人可安心用

原標題：避免大規模生物識別資料洩露之策 小額雙免盜刷難！持卡人可安心用

來源：中國電子銀行網 韓希宇

國家資訊保安漏洞共享平臺上週共收集、整理資訊保安漏洞218個，網際網路上出現“VyOS許可權提升漏洞、ZyxelNBG-418N v2 Modem跨站請求偽造漏洞”等零日程式碼攻擊漏洞，上週資訊保安漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一週的資訊保安行業要聞，告警重要漏洞並推出技術觀瀾，深入探討資訊保安知識。

一週行業要聞速覽

百萬使用者人臉資料遭洩露 是否就此因噎廢食？

根據使用者識別過程是否需要服務端參與完成，生物特徵識別技術的應用模式可以分為兩種：遠端認證模式和本地認證模式。而大部分的生物資訊資料洩露事件包括此次事件使用的均是遠端認證模式。>>詳細

超過256萬國人資料庫“裸奔”半年多 包含人臉識別資訊

這份資料庫所包含的資訊幾乎能夠精準地找到目標人物的位置以及大部分個人資訊，如果被不法分子利用，稍加社會工程手段實施詐騙或者釣魚攻擊，很可能造成一連串的安全事故。>>詳細

小額雙免盜刷？ 筆者實測：盜刷難！持卡人可放心使用

小額雙免可以輕易盜刷？筆者來到某商場進行現場實測，POS機必須緊貼接觸才能實現盜刷，超過5cm則沒有任何讀取反應。而且在人走動的時候，基本無法實現盜刷。>>詳細

工商銀行郭春野：集團一體化安全管理探索

圍繞集團化、國際化和綜合化發展戰略，工商銀行將國際安全管理核心要素與本行安全管理成功經驗有機結合，通過採取以下舉措，建立起集團一體化安全管理架構，促進境外安全管理水平整體提升。>>詳細

業內人士：使用者隱私資料如何洩露？多個環節均有可能

一般來說，如果使用者資料完全存放在企業私有伺服器或者私有云伺服器中，這樣洩露的可能性低一些。有些公司會放在公有云伺服器，這樣的情況如果在網路和資料安全機制上做得不完善，伺服器就有可能被黑客攻破，竊取到資料。>>詳細

WinRAR壓縮軟體曝高危漏洞 影響全球超5億使用者

黑客可利用該漏洞繞過許可權提升直接執行WinRAR，並將惡意檔案放進Windows系統的啟動資料夾中，只要使用者重新開機惡意檔案即自動執行，黑客便能“完全控制”受害者計算機。>>詳細

京東金融就App侵犯隱私致歉：安卓版本確實存在問題

近日，有使用者在微博上釋出視訊稱京東金融App會儲存使用者的截圖圖片在自己的資料夾內，因此質疑京東金融App侵犯使用者隱私。>>詳細

只需要不到20分鐘 報告顯示俄羅斯黑客是全球最快的入侵者

CrowdStrike提出突破時間這個概念，既是為了揭示企業及國家所面臨的網路威脅趨勢，也是在警示網路安全從業者需要繼續提升應急響應時間，與時間賽跑、與黑客賽跑，亦是網路安全攻防對抗中至關重要的一環。>>詳細

美國安全巨頭賽門鐵克：逾4800個網站被黑客植入攻擊程式碼

研究表明，成千上萬的網站正遭到網路黑客的攻擊，他們在這些網站上植入攻擊程式碼來竊取使用者的支付資訊。>>詳細

技術觀瀾

HTTP/3來啦 你還在等什麼？趕緊了解一下（下）

在開放網際網路上HTTP 2.0將只用於https://網址，而 https://網址將繼續使用HTTP/1，目的是在開放網際網路上增加使用加密技術，以提供強有力的保護去遏制主動攻擊。DANE RFC6698允許域名管理員不通過第三方CA自行發行證書。>>詳細

三星Galaxy App商店漏洞導致中間人攻擊實現遠端程式碼執行

這將允許攻擊者欺騙Galaxy Apps使用任意帶有有效SSL證書的主機名，並模擬應用商店API來修改裝置上的現有應用。（最重要的是）攻擊者可以在三星裝置上利用此漏洞實現遠端程式碼執行。>>詳細

安全威脅播報

上週漏洞基本情況

上週（2019年02月11日-2019年02月17日）資訊保安漏洞威脅整體評價級別為中。

國家資訊保安漏洞共享平臺（以下簡稱CNVD）上週共收集、整理資訊保安漏洞218個，其中高危漏洞62個、中危漏洞129個、低危漏洞27個。漏洞平均分值為5.75。上週收錄的漏洞中，涉及0day漏洞84個（佔39%），其中網際網路上出現“VyOS許可權提升漏洞、ZyxelNBG-418N v2 Modem跨站請求偽造漏洞”等零日程式碼攻擊漏洞。

上週重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows 10等都是美國微軟（Microsoft）公司釋出的一系列作業系統。Windows Domain Name System（DNS）是其中的一套域名系統伺服器。Microsoft Windows 10是一套個人電腦使用的作業系統。Windows Server 2016是一套伺服器作業系統。Microsoft Internet Explorer（IE）是一款Web瀏覽器，是Windows作業系統附帶的預設瀏覽器。Microsoft .NET Framework是一種全面且一致的程式設計模型。Visual Studio是開發工具包系列產品。Microsoft Windows是美國微軟（Microsoft）公司釋出的一系列作業系統。JET Database Engine是其中的一個數據庫引擎。上週，上述產品被披露存在遠端程式碼執行和遠端記憶體破壞漏洞，攻擊者可利用漏洞執行任意程式碼，造成記憶體破壞。

CNVD收錄的相關漏洞包括：Microsoft Windows DomainName System遠端程式碼執行漏洞、Microsoft Windows遠端程式碼執行漏洞（CNVD-2019-03928）、Microsoft Internet Explorer遠端記憶體破壞漏洞（CNVD-2019-04150）、Microsoft .NET Framework和Visual Studio遠端程式碼執行漏洞、Microsoft Windows JETDatabase Engine遠端程式碼執行漏洞（CNVD-2019-04154、CNVD-2019-04155、CNVD-2019-04157、CNVD-2019-04156）。上述漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程式。

Adobe產品安全漏洞

Adobe Acrobat是一套PDF檔案編輯和轉換工具，Adobe Reader是一套PDF文件閱讀軟體。上週，上述產品被披露存在任意程式碼執行和越界讀取漏洞，攻擊者可利用漏洞獲取敏感資訊，執行任意程式碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat和Reader任意程式碼執行漏洞（CNVD-2019-03932、CNVD-2019-03934）、Adobe Acrobat和Reader越界讀取漏洞（CNVD-2019-03938、CNVD-2019-03939、CNVD-2019-03940、CNVD-2019-03941、CNVD-2019-03942、CNVD-2019-03943）。其中，“Adobe Acrobat和Reader任意程式碼執行漏洞（CNVD-2019-03932、CNVD-2019-03934）”的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程式。

Apple產品安全漏洞

Apple iOS是為移動裝置所開發的一套作業系統；Safari是一款Web瀏覽器，是Mac OS X和iOS作業系統附帶的預設瀏覽器。iTunes for Windows是一款基於Windows平臺的媒體播放器應用程式。WebKit是其中的一個Web瀏覽器引擎元件。Apple macOS Sierra是為Mac計算機所開發的一套專用作業系統。macOS High Sierra是它的下一代產品。Hypervisor（又名虛擬機器器監視器，VMM）是一個執行在物理伺服器和作業系統之間的中間軟體層，它可允許多個作業系統和應用共享一套基礎物理硬體。上週，上述產品被披露存在多個漏洞，攻擊者可利用漏洞偽造位址列內容，提升許可權，執行任意程式碼（核心破壞），造成ASSERT失敗等。

CNVD收錄的相關漏洞包括：多款Apple產品WebKit拒絕服務漏洞（CNVD-2019-04295、CNVD-2019-04296）、Apple macOS Sierra和macOS High Sierra Hypervisor許可權提升漏洞、Apple macOS Sierra和macOS High Sierra IntelGraphics Driver記憶體破壞漏洞、Apple iOSSafariViewController位址列欺騙漏洞、Apple iOS ReplayKit型別混淆漏洞、Apple iOS GasGauge記憶體破壞漏洞（CNVD-2019-04302）、Apple iOS Calculator未授權操作漏洞。其中，“Apple macOS Sierra和macOS High SierraHypervisor許可權提升漏洞、Apple macOS Sierra和macOS High Sierra Intel Graphics Driver記憶體破壞漏洞、Apple iOS GasGauge記憶體破壞漏洞（CNVD-2019-04302）”的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程式。

D-Link產品安全漏洞

D-Link DIR-619L Rev.B、DIR-605LRev.B、DVA-5592、DCM-604、DCM-704、DIR-823G、DIR-600M C1和DIR-878都是（D-Link）公司的路由器產品。上週，該產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感資訊，繞過身份驗證，訪問路由器控制面板，執行任意程式碼。

CNVD收錄的相關漏洞包括：D-Link DIR-619L和DIR-605L棧緩衝區溢位漏洞、D-Link DVA-5592認證繞過漏洞、D-Link DCM-604和DCM-704資訊洩露漏洞、D-Link DCM-604和DCM-704憑證洩露漏洞、D-Link DIR-823G命令注入漏洞、D-Link DIR-600M認證繞過漏洞、D-Link DIR-878命令注入漏洞（CNVD-2019-04290、CNVD-2019-04292）。其中，除“D-Link DCM-604和DCM-704資訊洩露漏洞、D-Link DCM-604和DCM-704憑證洩露漏洞、D-Link DIR-823G命令注入漏洞”外，其餘漏洞的綜合評級為“高危”。目前，廠商尚未釋出上述漏洞的修補程式。

Foscam C2和Opticam i5作業系統命令注入漏洞

Foscam C2和Opticami5都是中國福斯康姆（FOSCAM）公司的網路攝像機產品。上週，Foscam C2和Opticami5裝置被披露存在作業系統命令注入漏洞。遠端攻擊者可藉助‘modelName’引數中的shell元字元利用該漏洞執行任意OS命令。

小結

上週，Google被披露存在許可權提升和拒絕服務漏洞，攻擊者可利用漏洞提升許可權，造成拒絕服務。此外，Apple、HDF5、HPE等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感資訊，執行任意程式碼（記憶體破壞），造成堆緩衝區越界讀取，發起拒絕服務攻擊等。另外，Technicolor DPC3928SL被披露存在跨站指令碼漏洞。遠端攻擊者可藉助setSSID利用該漏洞注入任意的Web指令碼或HTML。建議相關使用者隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。