俄罗斯贵宾会入口-俄罗斯贵宾会-官网

信息化处
 学院俄罗斯贵宾会入口  部门俄罗斯贵宾会入口  资讯动态  通知公告  部门概述  网络安全  规章制度  智慧校园  服务指南  常用下载 
今天是:
您的位置: 部门俄罗斯贵宾会入口>网络安全>正文
一周安全资讯(2019年第21期)
2019-11-25   瑞星官网

2019年第21期

【内容导读】

1、报告:到2018年底 我国网民数量达到8.3亿人

2、黑客分享4G无线路由漏洞 中兴被点名批评

3、微信公众号办事成习惯?小心掉进“高仿号”圈套

4、MicroSoftCTF协议曝出漏洞 影响Windows XP发布以来的所有系统

5、HTTPS 证书有效期被提议缩短至13个月

6、“螺丝刀”揭开严重安全漏洞 多厂商驱动程序及固件现提权问题

国内资讯

报告:到2018年底 我国网民数量达到8.3亿人

(内容源自:新华网)

国家统计局13日发布新中国成立70周年经济社会发展成就报告。

报告显示,我国网民由1997年的62万人激增至2018年的8.3亿人。

2018年,移动互联网接入流量消费达711亿GB,是2013年的56.1倍。

70年来,我国通信业发展突飞大进。报告显示,我国通信技术跨越式发展。2018年末,光纤接入用户达3.68亿户;4G用户总数达11.7亿户。

用户规模发展壮大,电信业务总量高速增长。统计显示,2018年末,全国德律风用户规模达17.5亿户,用户规模居世界第一。移动宽带用户(即3G和4G用户)总数由2014年末的5.8亿户增至2018年末的13.1亿户,年均增长22.4%。

数字消费持续释放居民需求潜力。报告显示,截至2018年末,我国网络购物用户规模达6.1亿,占网民总体的73.6%。

此外,报告还显示,我国快递业务量自2014年超过美国后,持续保持世界第一。2018年末,快递业务总量由1988年的153万件激增至507亿件。

黑客分享4G无线路由漏洞 中兴被点名批评

(内容源自:雷锋网)

5G 时代都要来了,但令人糟心的是,4G 路由上的窟窿我们还没补完呢。据 BleepingComputer 美国时间8月12日报道, Pen Test Partners 研究人员 G Richter 就在今年的 DEF CON 黑客大会上分享了自己在一些 4G 路由设备上找到的安全漏洞。

在他看来,“市场上现售的许多 4G 调制解调器与路由器非常不安全,一旦被不法分子利用,很容易导致个人信息泄露或受到命令实行攻击。”

“我们在多家厂商的一系列设备中发现了可被利用的关键远程漏洞,而且对一个懂点技术的人来说,完全是得来全不费工夫。”Richter 说明道。“要知道,搞此类无线通讯技术的 OEM 商全球也就那几家,它们的软硬件可是会出此刻每个人的日常生活中。”

最可怕的是,这些漏洞几乎存在于各种价位的产品中,无论消费级路由还是企业级产品都中招了。

好在,Richter 发现问题后及时通报了这些厂家,在公布自己的研究成果前这些漏洞大大都都已完成修复。不过,也有些厂家态度不够端正。

中兴路由器漏洞

在 Richter 看来,各家路由厂商中最让人头疼的是中兴(ZTE)。在获知漏洞信息后,它们居然懒得修复,直接将 MF910 和 MF65+ 两款路由产品放在了“生命周期结束”一栏,拒绝提供技术支撑。不过,该企业网站上可没有“抛弃”MF910 的消息。

随后,Richter 又测试了另一款名为 MF920 的中兴路由器,它与前代产品分享同一个代码库,因此暴露了几乎一样的漏洞。此次,中兴只能乖乖抉择修复。

如果你用的是 MF910 和 MF65+,遇上下面问题只能自求多福了。

1. 打点员密码可能会泄露(预认证)。

2. 排故端点非常容易受到命令注入攻击(后认证)。

3. 在完全未使用的“测试页面”还是会存在跨站脚本攻击。

“如果将这些漏洞连起来,只要诱骗用户访问恶意网页,黑客就可在路由器上实行任意代码。”Richter 补充道。要想详细了解 MF910 的相关漏洞阐发,可以访问 HERE 网站。

至于 MF920 的问题,则可查询以下两个 CVE:

? CVE-2019-3411 – 信息泄露

? CVE-2019-3412 – 任意命令实行

网件和 TP-LINK 也没跑

网件和 TP-LINK 的 4G 路由也没逃过 Pen Test Partners 研究人员的法眼,它们一共被开了 4 个 CVE。

就拿网件 Nighthawk M1 移动路由来说,如果不设定个复杂的密码,它不但会受到跨站伪造请求攻击(CVE-2019-14526),还有后认证命令注入攻击(CVE-2019-14527)的危险。

黑客攻击的方法与上面类似,也是诱导用户访问恶意页面。除此之外,Richter 还详细讲述了如何破掉网件固件加密的方法。

TP-LINK 的 M7350 4G LTE 移动路由也有问题,它比较容易受到命令注入攻击,为此还被开了下面两个 CVE:

? CVE-2019-12103 – 预认证命令注入

? CVE-2019-12104 – 后认证命令注入

“随着无线网络的不断进步,许多对带宽要求不高的用户已经开启全面 4G 生活了。”Richter 说道。“不过,现下销售 4G 路由器的制造商们确实没那么上心,5G 时代到临后可怎么办啊。”

微信公众号办事成习惯?小心掉进“高仿号”圈套

(内容源自:新华视点)

“您小车的免年检期限即将到期,可在微信公众号线上年审。”日前,福建泉州许先生按照这条短信提示,搜索到名叫“福建车辆年检”的公众号,通过链接被诱导到一个网址,输入了银行卡号、策动机号、卡密码及短信验证码,被骗走2000元。

看病、开卡、办事,上微信公众号预约一下,近年来,越来越多的人习惯在微信公众号上处理事务。

“新华视点”记者调查发现,骗子们如今开始利用仿冒官方微信公众号进行诈骗,有的通过取“高仿名”冒充正规机构,有的通过造假、借用他人工商执照、法人信息注册微信公众号实施诈骗。

微信公众号办事成习惯?小心掉进“高仿号”圈套

记者采访了解到,不少人都认为公众号可信度较高,操作时很少点开详细资料了解公众号的注册、认证背景等。

浙江的陈女士就曾因为存眷了一个虚假的微信公众号,导致新打点的信用卡被骗消费上千元。打点了交通银行的信用卡后,为方便日后查账,陈女士在微信中找到了一个名为“交通银行中心办卡进度询问”的微信公众号。

存眷后,陈女士打通页面上提供的客服德律风,接德律风的男子自称是交通银行的“客服”。该“客服”让陈女士提供信用卡账号和手机号码,并称随后会发验证码到陈女士的手机上。

陈女士按照对方的指示,将收到的四条验证码全数报出。在即将报出第五个验证码时,陈女士突然意识到验证码不能随意告诉陌生人。陈女士当即挂断了德律风,并拨打了交通银行的官方咨询热线,但为时已晚。银行的工作人员告诉陈女士,其信用卡已被消费4笔,合计1414元。

泉州市反诈骗中心民警表示,除了冒充金融部门公众号诈骗,这两年还出现假冒网络贷款、购物网站、中介机构等公众号的诈骗案。

记者调查:不少微信公众号是“李鬼”,官方认证号“黑市”680元全套代办。

按照注册主体的不同,微信公众号分为个人号和企业号,企业号服务号可以获得链接到外网等更多权限,经认证的公众号甚至可以开通支付通道。申请官方认证需提交企业营业执照、法人信息等资料。

记者搜索发现,微信平台上能查找到一批类似“扫码支付助手”“支付平台助手”“银行卡安全助手”“动感地带10086”等看似“官方”的公众号,点击查询这些公众号的详细资料,才发现竟是无相关营业资格的个人号。

此外,经微信官方认证的公众号也被造假者盯上。在电商平台上,记者发现不少声称可以“公众号定制、名称自取,极速通过公众号、服务号、订阅号、小程序注册和认证”的商家。

此中一位来自安徽的商家告诉记者,缴纳680元可注册经微信官方认证的企业号;微信要求的营业执照、银行对公账户、法人信息等资料可以全由该商家包办,公众号平时运营完全交给记者。

记者提出要将该号用于放贷,可能要从公众号外导至其他付款网页,因为和该企业合法的营业范围是“两张皮”,担忧微信方面会审查,卖家表示“微信方面完全不会管,可以安心运营”。

资料显示,微信认证每年要收取300元,是支付给第三方专业审核机构的审核服务费用。记者致电此中一家第三方审核机构——成都知道创宇信息技术有限企业,该企业客服告诉记者:“初度认证完了,打点员平时如捍油分廖操作,做些什么,企业都看不到,也不会管,只是每年年审时再次核实营业执照、经营范围等相关资料。”

专家建议平台负起责任,避免沦为诈骗工具

业内人士指出,微信公众号在名称和资料审核、日常运营等方面还存在漏洞。按照电子俄罗斯贵宾会法等有关法律的相关规定,互联网平台要承担起主体责任,应依法加强对平台内各经营者的打点,出格是对金融、政务、支付等相关行业公众号要着重进行人工审核,提升开设门槛,避免其沦为诈骗工具。

微信官方团队回应,在微信公众平台开设公众账号的用户,需要遵守国家相关法律法规,不从事违法或违反《微信公众平台服务协议》及相关规则的行为。平台此刻对公众号涉及“银行”这一类的命名,均严格要求申请者需提交相关金融资质才可命名;上文提到的“银行卡安全助手”公众号属于注册时间较早的账号,平台已要求其7天内改名或更换有资质的主体,如到期未调整,将直接清空名称。

“对于仿冒公众号等行为一直都在打击,最近还进行了专项处理,处理了一批仿冒诗词书画大赛、假冒家电售后维修、假冒高收益理财、假冒快递理赔等违规账号。”微信相关负责人说。

网信安全与信息化专家李洋表示,从技术角度看,通过假冒微信公众号“垂钓”,一般需注册第三方垂钓网站域名并开发实现对应所需的诈骗功能,打击此类“垂钓链接”,需要平台对接国家级统一的垂钓网站信息库,监管部门与平台协同发力。

微信官方团队提醒用户,使用前先点击公众号右上角“…”-“更多资料”,查看公众号的具体信息,假冒官号的主体大多是一些个人、个体工商户或非对应的主体。不过,大都消费者在接受记者采访时表示,让消费者“擦亮眼”是防骗的一个方面,但更重要的是提供服务的微信平台不能“甩锅”,要真正负起责任来,这是一个负责任企业的基本社会责任和义务。

国际资讯

MicroSoftCTF协议曝出漏洞 影响Windows XP发布以来的所有系统

(内容源自:solidot)

谷歌 Project Zero 安全团队的研究员 Tavis Ormandy 报告,MicroSoft鲜为人知的 CTF 协议存在漏洞,很容易利用,已在受害者计算机获得安身之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用,接管整个操作系统。

CTF 代表什么 Ormandy 没有查到,它是 Windows Text Services Framework (TSF) 的一部分,该系统用于打点 Windows 或 Windows 应用程序内的文本展示。当用户启动一个应用,Windows 会启动一个 CTF 客户端,这个客户端会从一个 CTF 服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入方法从一种语言切换到另一种语言, CTF 服务器会通知所有 CTF 客户端,实时改变语言。

漏洞在于 CTF 服务器和客户端之间通信是不安全的,没有正确的身份验证。攻击者可以劫持另一个应用的 CTF 会话,伪装成服务器向客户端发送指令。如果应用运行在高权限上,攻击者可以控制整个操作系统。

漏洞影响到 XP 以来的所有 Windows 版本,不清楚MicroSoft是否或何时会释出补丁。

HTTPS 证书有效期被提议缩短至13个月

(内容源自:开源中国)

由 Web 浏览器制造商、App开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum,正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。

关于这样的提案,已经不是第一次提出。

在 2017 年时,CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。

 

而早在一年前,证书的最长有效期已经从 39 个月降至 27 个月。

我们都知道,HTTPS 证书用于加密浏览器和站点之间的连接,帮助App确定没有人篡改或窃听这些连接。

如果减少 TLS/SSL 证书有效的时间,网站必须更频繁地更新其证书。理论上,这样的证书有效期也有助于减少欺诈活动,如果是偷来的证书则很快会失效,被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书,而不是使用不安全算法的老化证书。

不过,本周一时,DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。

换句话说,减少有效期可能会促使企业免费使用 Lets Encrypt TLS/SSL,就不会向 Digicert 这样的机构支付费用。Lets Encrypt 可以免费发放 90 天的 HTTPS 证书,使用提供的App客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支撑 Lets Encrypt TLS/SSL 证书,导致该服务正给向 HTTPS 证书收费的证书颁发机构带来巨大压力。

Hollebeek 称:

将证书寿命迅速缩短到一年,甚至更少,对于许多依赖数字证书保护系统的企业来说,这将带来巨大的成本。这些费用不会换来更加安全的改进,并且这项提案对从事非法活动或冒充合法企业的非法分子不会有任何影响。最主要的一点是,减少证书寿命的任何好处都是属于理论性的,在短期内要付诸实际的话,产生的风险和成本也将难以预测。

该提案于今年早些时候在GOOGLE员工 Ryan Sleevi 的一次会议上提出,目前仍处于草案阶段,还没有关于何时进行表决的消息。

“螺丝刀”揭开严重安全漏洞 多厂商驱动程序及固件现提权问题

(内容源自:Expreview超能网)

当前信息安全问题越来越突出了,自幽灵、熔断漏洞之后,计算机硬件漏洞逐渐成为信息安全研究人员的存眷点。

近日一家名为Eclypsium的网络安全研究企业公布了一份报告,称超过20家企业都会收到其发现的名为“螺丝刀”漏洞的影响。

在简要报告中,该企业称驱动程序及固件的不安全问题非常普遍,包括华硕、华擎等主要的BIOS供应商及NVIDIA等的驱动程序中都发现了严重漏洞,而且更严重的是他们发现的易受攻击的驱动程序都经过了MicroSoft的认证,因此他们已经邀请MicroSoft提供包括将一直的问题驱动列入黑名单等方法防范此类漏洞。

具体来讲这些漏洞都允许驱动程序充当代办代理,以实行对硬件资源的高权限访问,例如对处理器和芯片组的I/O空间的读写访问等。这是一种权限提升,因为它可以将攻击者从用户模式(Ring 3)提权至操作系统的内核模式(Ring 0),这样恶意App就会拥有更多的权限实行。而驱动程序中的漏洞会使恶意App较为轻松的获取高等级权限。

作为演示,Eclypsium展示了如Slingshot攻击、LoJax恶意App等方式攻击驱动或固件。如LoJax恶意App可向受害设备的固件中安装恶意App,并在整个操作系统安装过程中持续存在。

Eclypsium的发现不仅提醒了各硬件厂商需要对固件安全更加重视,而且也说明了即使驱动程序进行了签名也不代表安全。所以为应对这个问题,需要硬件厂商积极推出更加安全的固件及驱动,同时用户也需要积极升级最新的固件以保证设备不受漏洞影响。

 

关闭窗口
 
相关文章  
读取内容中,请等待...

版权所有: 重庆俄罗斯贵宾会职业学院 校址:重庆市沙坪坝区大学城中路81号
德律风:023-61691001邮编:401331
50010602500176 

 

浏览总数:
今日浏览:

俄罗斯贵宾会入口|俄罗斯贵宾会

XML 地图 | Sitemap 地图