中国电子银行网讯国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞个，互联网上出现“NETGEARDGN任意命令执行漏洞、Joomla 　　清算协会：关于国内消费金融的3个特点、4挑战和4个建议

　　除了银行和消费金融公司这类传统持牌机构，电商、P2P网贷、分期购物平台等机构纷纷推出消费金融产品，如蚂蚁花呗、京东白条、微粒贷、分期乐等。这类机构创新性强，注重客户体验和服务效率，通过自身各具特色的生态体系及业务场景，细分市场，针对特定群体深耕细作，覆盖了大量消费者，成为消费金融市场最活跃的参与者。

　　首例 　　这个软件未受腾讯公司授权，它可以实时拦截 　　50亿条公民信息泄漏案后续京东称涉事员工处于试用期

　　郑某鹏在加入京东之前曾在国内多家知名互联网公司工作，其长期与盗卖个人信息的犯罪团队合作，将从所供职公司盗取的个人信息数据进行交换，并通过各种方式在互联网上贩卖。

　　美国支付巨头Verifone遭遇网络攻击

　　从邮件内容可以看出，Verifone的员工不能在公司手提电脑和PC上安装任何软件。这就表明，这起入侵事件可能因下载恶意软件所致。在Verifone发送上述电子邮件的前几天，信用卡公司Mastercard和Visa向Verifone通知了这起事件。

　　《阿里聚安全年报》发布

　　常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激活等操作。详细

　　澳大利亚着手出台《数据泄露通报制度》敦促安全建设

　　美国国防部对国内诸如银行及医疗卫生等部门实施的举措就非常值得借鉴。其对私营行业及其承包与采购商发布了一系列与安全违规通报相关的规则与条例，同时建立起合作与志愿项目，包括：国防工业基础网络安全计划（简称DIB-CS）；银行FS-ISAC以及医疗卫生NH-ISAC等，旨在实现公共与私营部门各参与者间的合作伙伴关系。

　　索尼推出基于Felica技术HCE非接支付应用

　　安卓HCE模式下能够支持TypeA、B、C在内的所有CPU卡，唯独不支持不是CPU卡的Mifare卡。所以，TypeC类型的Felica卡实际上也是CPU卡，因此支持HCE模式也是比较好理解的。

　　安全漏洞周报

　　上周漏洞基本情况

　　上周信息安全漏洞威胁整体评价级别为高。

　　上周共收集、整理信息安全漏洞个，其中高危漏洞82个、中危漏洞个、低危漏洞11个。漏洞平均分值为6.5。本周收录的漏洞中，涉及0day漏洞73个（占38%）。其中互联网上出现“NETGEARDGN任意命令执行漏洞、Joomla 　　上周重要漏洞安全告警

　　1、ApacheStruts2存在S2-远程代码执行漏洞

　　ApacheStruts是一款用于创建企业级JavaWeb应用的开源框架。上周，该产品被披露存在S2-远程代码执行漏洞，攻击者可利用漏洞直接取得网站服务器控制权。

　　相关漏洞包括：ApacheStruts2存在S2-远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　2、Apple产品安全漏洞

　　ApplemacOSSierra是美国苹果公司为Mac计算机所开发的一套专用操作系统。AppleiOS是一套为移动设备所开发的操作系统。watchOS是一套智能手表操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击或执行任意代码等。

　　相关漏洞包括：ApplemacOSSierralibxpc组件沙盒绕过漏洞、AppleiOSWebKit组件跨站脚本漏洞、AppleiOS/macOS拒绝服务漏洞、AppleiOSClipboard组件信息泄露漏洞、AppleiOSWebSheet组件沙盒绕过漏洞、ApplemacOS本地信息泄露漏洞、ApplemacOS任意代码执行漏洞（CNVD--、CNVD--）。

　　其中，“AppleiOSWebSheet组件沙盒绕过漏洞、ApplemacOS任意代码执行漏洞（CNVD--）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　3、IBM产品安全漏洞

　　IBMTivoliSystemAutomationforMultiplatforms是美国IBM公司的一套集群解决方案。IBMContentNavigator是一款Web客户机，IBMWebSphereMQ是一款消息传递中间件产品。IBMPowerKVM是一套开放式虚拟化解决方案。IBMTivoliStorageManagerServer是一套存储管理软件解决方案。IBMJazzforServiceManagement在整合服务管理和一些关键领域的第三方产品提供了增强的解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行跨站脚本攻击、提升本地权限、执行任意代码或发起拒绝服务攻击等。

　　相关漏洞包括：IBMTivoliSystemAutomationforMultiplatforms本地权限提升漏洞、IBMContentNavigator跨站脚本漏洞（CNVD--）、IBMWebSphereMQ拒绝服务漏洞（CNVD--、CNVD--）、IBMPowerKVM命令执行漏洞、IBMTivoliStorageManagerServer缓冲区溢出漏洞、IBMWebSphereMQ数据转换拒绝服务漏洞、IBMJazzforServiceManagement跨站请求伪造漏洞。其中，“IBMTivoliSystemAutomationforMultiplatforms本地权限提升漏洞、IBMPowerKVM命令执行漏洞、IBMTivoliStorageManagerServer缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　4、Linux产品安全漏洞

　　Linuxkernel是美国Linux基金会发布的操作系统Linux所使用的内核。上周，该产品被披露存在权限获取和拒绝服务漏洞，攻击者可利用漏洞执行任意代码。相关漏洞包括：Linuxkernel权限获取漏洞（CNVD--）、Linuxkernel本地拒绝服务漏洞（CNVD--、CNVD--、CNVD--、CNVD--、CNVD--、CNVD--）、Linuxkernel拒绝服务漏洞（CNVD--）。其中，“Linuxkernel权限获取漏洞（CNVD--）、Linuxkernel本地拒绝服务漏洞（CNVD--）”的综合评级为“高危”。目前，除“Linuxkernel本地拒绝服务漏洞（CNVD--）”外，剩余漏洞已经发布了相应的修补程序。在此，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　5、多款D-LinkDGS-Websmart设备安全绕过漏洞

　　D-LinkDGS--28XMP是友讯（D-Link）公司的以太网交换机。上周，D-Link被披露存在安全绕过漏洞，攻击者可利用该漏洞提交特殊的请求，进行未授权的命令执行。目前，厂商尚未发布该漏洞的修补程序。在此，提醒广大用户随时 　　专家点评和建议

　　中国电子银行网特约中国金融认证中心（CFCA）信息安全专家，对漏洞风险作出如下小结：上周，ApacheStruts2被披露存在S2-远程代码执行漏洞，攻击者可利用漏洞直接取得网站服务器控制权。此外，Apple、IBM、Linux等多款产品被披露存在多个漏洞，攻击者利用漏洞可泄露敏感信息、进行跨站脚本攻击、执行任意代码或发起拒绝服务攻击等。另外，D-Link被披露存在安全绕过漏洞，攻击者可利用该漏洞提交特殊的请求，进行未授权的命令执行。建议相关用户随时







































白癫疯该怎么治
北京中科白癫疯医院