丝瓜直播app下载

網絡安全通報第一期
發布時間: 2019-03-22 瀏覽次數: 197 文章來源: 信息化建設與管理辦公室

本周網絡狀態:良好本周信息安全威脅通告


2019年第1

本周信息安全漏洞威脅整體評價級別為

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞379 個,其中高危漏洞152 個、中危漏洞190 個、低危漏洞37 個。漏洞平均分值為5.98。本周收錄的漏洞中,涉及0day 漏洞227 個(占60%),其中互聯網上出現“WordPress 插件AdvancedCustom Fields Pro SQL 注入漏洞、Nokia 8810 4G 設備KaiOSGecko 組件拒絕服務漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數1944 個,與上周(2374 個)環比下降18%。

  

1 簡訊

丝瓜直播app下载俄羅斯50 多家大型企業遭到IoT 攻擊者勒索。攻擊使用物聯網設備,偽裝成歐尚、馬格尼特、斯拉夫尼奧夫等50 多家知名公司發送釣魚電子郵件,對這公司人員進行勒索攻擊。

沙特智能電話本應用Dalil被爆嚴重漏洞:500 萬以上用戶信息被泄露。沙特和其他阿拉伯地區用戶使用的智能電話本應用Dalil 出現嚴重漏洞,導致用戶數據持續泄露一周時間。

丝瓜直播app下载主流訪客管理系統存在漏洞,黑客可潛入敏感區域。

IBM 安全研究人員發現,在最流行的5 大訪客管理系統(Lobby Track Desktop、eVisitorPass、EasyLobby Solo、Passport 和The Receptionist)中有19 個漏洞,黑客可以利用漏洞竊取相關數據,甚至可以潛入辦公大樓敏感、禁止區域。


2  網絡安全漏洞

  2.1高危漏洞預警





2.2 Chrome 在野利用0day 漏洞預警

2019 年3 月1 日,chrome 瀏覽器發布版本更新(72.0.3626.119->72.0.3626.121),修復了在野利用的CVE-2019-5786。該漏洞危害較為嚴重,影響較大。

一、漏洞情況分析

丝瓜直播app下载CVE-2019-5786 是位于FileReader 中的UAF 漏洞。各大主流瀏覽器都包含了一個Web API,允許Web 應用程序讀取存儲在用戶計算機上的文件內容。確切點說,這是一個‘釋放后使用’(use-after-free)漏洞:Chrome 對分配給自己的內存進行了釋放/ 刪除,但另一款應用程序試圖對這部分內容進行訪問——如果處理不當,可能會導致惡意代碼執行。CVE-2019-5786 漏洞允許惡意代碼逃脫Chrome 的安全沙箱,并在操作系統的底層上運行命令。

二、漏洞處置建議

使用chrome 瀏覽器的用戶請打開chrome://settings/help 頁面查看當前瀏覽器版本,如果不是最新版(72.0.3626.121)會自動檢查升級,重啟之后即可更新到最新版。其它使用chromium 內核的瀏覽器廠商也需要根據補丁自查。


本周全國焦點事件

3.1 連續兩年,政府工作報告強調要整治侵犯公民個人信息問題

3 月5 日,十三屆全國人大二次會議開幕,國務院總理李克強作政府工作報告。報告中再次指出要整治侵犯公民個人信息等突出問題,堅決守護好人民群眾的平安生活。

丝瓜直播app下载3 月5 日,政府工作報告“2019 年政府工作任務”中,明確表示要“加強國家安全能力建設。完善立體化社會治安防控體系,深入推進掃黑除惡專項斗爭,依法懲治盜搶騙黃賭毒等違法犯罪活動,打擊非法集資、傳銷等經濟犯罪,整治侵犯公民個人信息等突出問題,堅決守護人民群眾的平安生活”。

關于整治侵犯公民個人問題已連續兩年出現在政府工作報告中。2018 年的政府工作報告指出,我國要整治電信網絡詐騙、侵犯公民個人信息、網絡傳銷等突出問題,維護國家安全和公共安全。

丝瓜直播app下载關于保護個人信息,早在2015 年的政府工作報告中就已出現。該年政府工作報告指出要推進社會信用體系建設,建立全國統一的社會信用代碼制度和信用信息共享交換平臺,依法保護企業和個人信息安全。


3.2百度百科、搜狗百科外鏈跳轉色情網站,過期域名被黑產利用

2019 年2 月28 日晚上,有爆料稱用戶在百度搜索部分小學或者幼兒園詞條,搜索結果優先給出了百度百科的鏈接,點擊進去之后卻發現頁面最后的參考鏈接“廣州上學網”竟然被指向色情網站……在筆者一番查詢之后發現,中招的不只是百度百科,連搜狗百科也同樣未能幸免。

一般這種情況,當你在網上看到這個消息的時候就已經晚了。但沒想到這次是個例外,這個不良網站依然可以訪問。所以,恕我不能直接告訴你“車牌號”。這次勢態之嚴重,我想百度比誰都清楚。因此很快百度就采取了行動,對所有百科詞條參考鏈接關聯到“廣州上學網”的全部予以修改,并及時發表聲明解釋稱“網頁過期失效,被不法分子利用,定向至不良站點”,原文如下圖:


然百度已經取消了外鏈,但域名所定向的不良網站依然正常訪問。根據互聯網存檔館(https://archive.org)所保存的頁面記錄發現,這個“廣州上學網”此前確實是一個再正經不過的便民服務網站。其中所記錄的2014 年1 月16 日歷史頁面中,可以看到,這個廣州上學網內容基本都是為解決小孩上學的各種問題而服務,例如“幼升小”、“小升初”、高考、留學等等問題。而在2014 年到2017 年之間,該域名基本處于無法訪問狀態。而從2018 年所記錄的歷史頁面開始,全部都被指向了色情網站。截止筆者發稿之時,原廣州上學網的域名處于被301 重定向到該色情網站域名。


丝瓜直播app下载僅如此,筆者還查到“廣州上學網”不止這一個域名,還有一個更短的域名目前也同樣被定向到了另一個色情網站。值得一提的是,可能是因為“廣州上學網”曾收錄了大量學校或者幼兒園的資料,因此被多個百科作為參考文獻。不僅僅是這次百度,連搜狗百科也有這種情況,只不過此前沒有被曝出而已。


過反鏈查詢到,搜狗百科部分學校資料中此前參考資料一直是“廣州上學網”的鏈接,而在最新修改版本中去掉了參考資料,而最后一次修改時間為筆者撰稿前幾個小時,剛好在百度百科事件被曝出之后。

丝瓜直播app下载百度百科、搜狗百科等目前已經清除了“廣州上學網”的外鏈,但在其他論壇或者社區中依然存在,能夠在搜索引擎中找到。這次事件曝出之后,相信該色情網站將很快就被關掉了,減少危害繼續蔓延。但過期域名被黑產利用跳轉不良網站的現象很顯然沒那么容易解決,但至少運營者需要采取相應手段定期排查平臺內是否存在外鏈域名被非法利用的現象,才能減少事故發生的幾率。

  

3.3農工黨中央擬提案:將二維碼列入國家信息安全體系

2019 年全國兩會前夕,農工黨中央擬提交全國政協十三屆二次會議提案38件,其中包括《關于抓緊建立國家二維碼應用監管體系確保信息安全的提案》(以下簡稱《提案》)。

《提案》指出,“二維碼是數字社會重要的移動互聯網入口,掌握二維碼發碼權,就掌握了移動互聯網的領導權。二維碼應用領域不僅僅是個人上網,還包括商業、軍事、科研、航空航天、醫療衛生等,幾乎涵蓋了國民經濟的所有領域,全國約有萬余家公司服務于二維碼行業。目前,世界各國普遍認識到數字社會發展中二維碼的重要性,以二維碼識別體系為中心的數字信息領導權爭奪已經開始。例如,美國政府和軍隊領域沒有使用國際上普遍推廣的日本的QR 二維碼,而使用美國自主研發的PDF417 二維碼。韓國在國家重要領域使用自主產權的MagicCode 碼。而北約國家早就統一二維碼標準,成為基礎設施的一部分。”

《提案》指出,據估算,中國手機二維碼個人用戶超過9 億人,廣泛應用于商業超市、工業生產、農業農村、教育科研、稅務海關、各種票證、醫院藥品、國防軍事等領域。然而,我國迄今仍未建立統一的、國家主導的二維碼編解碼體系和管理機構。我國廣泛應用的95%的主流碼制采用了日本和美國標準,國產碼制不及5%。甚至一些不良單位利用二維碼管理漏洞,發行帶有不良信息二維碼,欺騙蠱惑群眾謀取利益。我國二維碼的安全應用問題需引起高度重視,亟待建立健全信息安全監管機構和監管機制,引導我國信息社會安全良性發展。

丝瓜直播app下载為此,農工黨中央在上述《提案》中建議:

丝瓜直播app下载一是將二維碼列入國家信息安全體系。二維碼已成為移動互聯的核心標識,對我國信息安全影響巨大,必須列入國家整體信息安全體系,作為信息安全體系組成部分。應加快建立對二維碼進行分配和解析的國家機構,建議由工業和信息化部牽頭建立國家二維碼監管體系,建設國家二維碼解析中心,完善國家二維碼標識安全體系。在國家二維碼安全標識體系支持下,形成我國二維碼應用的“三個統一、一個自主”,即:統一二維碼“身份證”、統一公共服務平臺、統一行業標準規范;在關系國計民生的重要領域(銀行、軍事、票務、醫藥等),推廣使用我國自主的二維碼標識體系。

二是支持我國成立二維碼國際組織,推動國際標準制定。在工信部支持下,由中國電子商會發起建設了中國自主二維碼“根”注冊管理體系(IDcode),2014年成立了中關村工信二維碼技術研究院(ZIIOT)。2018 年8 月獲得國際標準化組織ISO、歐洲標準委員會CEN、國際自動識別與移動技術協會AIM Global 國際組織批準,成為中國首家具有全球性國際代碼發行權的機構(發行代碼為MA),意味著中國二維碼“根”服務體系,具備了在全球分配二維碼資源的資格。這是我國在數字安全領域具有里程碑意義的重要事件,對于中國領導和掌握全球代碼資源分配權、技術標準制定權、產業發展主導權,促進國際數字安全領域健康發展具有重要意義。建議在此基礎上,繼續推動我國二維碼技術研究和標準制訂與國際接軌,努力參與并主導相關國際標準的制定。在涉及到國家信息安全的重要領域,率先引入使用中國二維碼體系標準,國家發改委等有關部委在項目研發上給予大力支持,商務部、中國海關在國家“一帶一路”商務活動中,大力推行中國二維碼標準。


仙林校區地址:南京市亞東新城區文苑路9號 郵編:210023 三牌樓校區地址:南京市新模范馬路66號 郵編:210003 鎖金村校區地址:南京市龍蟠路177號 郵編:210042 蘇ICP備11073489號-1