中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞396个，互联网上出现“MicrosoftWindows Server 2003 R2 IIS缓冲区溢出漏洞、Joomla!jCart For OpenCart组件SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻，并特约中国金融认证中心（CFCA）信息安全专家对漏洞风险作出点评和建议。

　　一周行业动态

　　《英国数字化战略》发布

　　英国将开展如下部署：（1）从根本上解决数字化鸿沟问题，确保公众能充分获益于数字化世界；（2）确保公众掌握所需的各项数字化技能；（3）鼓励公共、私有和第三部门之间的合作，以协调一致的方式填补数字化技能鸿沟。>>详细

　　蚂蚁金服与建行达成战略合作 二维码支付互认互扫？

　　按照协议，蚂蚁金服将协助建设银行推进信用卡线上开卡业务，为此前无法覆盖的人群提供信用卡服务。双方还将推进线下线上渠道业务合作、电子支付业务合作、打通信用体系，共同探索商业银行与互联网金融企业合作创新模式。>>详细

　　加快架构转型 打造数字央行——人民银行召开2017年科技工作会议

　　今后一段时期，央行科技工作应以建设数字央行为目标，重点打造一支专业型、复合型、学习型、创新型的央行金融科技队伍；实现架构转型和大数据利用两个突破；完善风险防控、科技治理、技术研发三个体系，构建以大数据为支撑的央行决策平台、以分布式系统为核心的央行服务平台、以数字货币探索为龙头的央行创新平台。>>详细

　　易观：2016年Q4中国非金融支付机构综合支付数据

　　根据易观2016年第4季度中国非金融支付机构综合支付市场交易份额占比统计，支付宝、银联商务和财付通分别以33.77%、27.35%和20.60%的市场份额位居前三位。三者市场份额总和达到81.72%。>>详细

　　评“网联”：真正目的是催生支付清算牌照

　　3月31日，经过近一年的发酵，网联上线了，因为是试运行，和一年前的声势相比，低调了很多。17天后(即4月17日)，支付机构备付金集中存管也要落地了，备付金多机构存放的模式也要告一段落，且不再付利息。也许，过不了几个月，清算业务牌照就可以开放申请了，届时，没有清算牌照的支付机构再从事清算业务，便是真正的违规了。>>详细

　　iOS 10.3.1修复的那个WiFi芯片漏洞 也影响到了数百万Android手机

　　此问题存在于博通的固件代码之中，可导致远程代码执行漏洞，允许处于设备WiFi范围内的攻击者向目标设备发送并执行代码。更牛逼的攻击者还可以部署恶意代码，完全控制受害者的设备，并在受害者不知情的情况下安装诸如银行木马、勒索软件、恶意广告等恶意程序。>>详细

　　孟加拉央行8100万美元劫案线索直指朝鲜

　　自称Lazarus Group的黑客团伙，被视为一系列银行黑客劫案背后的罪魁祸首，这些劫案包括2016年2月孟加拉央行SWIFT交易软件漏出的8100万美元。>>详细

　　技术观澜

　　HOW FIDO WORKS

　　FIDO是神马

　　对于互联网公司来说，随着重大数据泄露事故的频发，过去基于密码的在线身份验证技术已经难以维持互联网经济的稳定发展，安全界关于“密码已死”的呼声越来越高。而FIDO联盟正是在这个背景下应运而生的一个推动去密码化的强认证协议标准的组织。FIDO的目标是创建一组新的协议，支持对web应用持续的、安全的、无需密码的访问（即所谓的非密码强认证）。

　　FIDO的主要使命是以创建行业标准的方式保证各个厂商开发的强认证技术之间的互操作性，用简化的双因子甚至多因子认证技术结束多年来消费者记忆密码的烦恼。其次FIDO协议也可以保护用户的隐私。协议不提供可被不同在线服务使用的信息，用于跨服务协作和跟踪用户。生物特征信息（如果使用）永远不会离开用户的设备。

　　FIDO的标准草案介绍了FIDO认证协议的工作原理，用户可以使用智能手机指纹采集器、USB令牌等多种方式登录，服务商无需再维护复杂且成本高昂的认证后台。

　　FIDO的会员包括Nok Nok Labs、Google、BlackBerry、ARM、英特尔、PayPal、Lenovo和MasterCard。在RSA之前，微软和EMC旗下的RSA是最近加入FIDO联盟的两个重量级厂商。

　　FIDO工作原理

　　FIDO通过两个子协议实现安全登录（验证）。U2F标准是关于使用PIN和USBdongle或者支持NFC的手机；第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。

　　加入FIDO联盟之后，电脑和手机厂商将在其设备中植入一颗专门用来进行身份识别的TPM芯片，FIDO标准还允许手机制造商用NFC技术来达到TPM芯片相应的功能。据了解，ARM和Intel公司都有意愿在未来为手机和平板电脑开发类似于TPM的技术。FIDO协议使用标准公钥密码技术来提供更强大的认证。在使用在线服务注册时，用户的客户端设备创建一个新的密钥对。设备保留私钥，并在线服务注册公钥。身份验证由客户端设备完成，通过签名一个挑战(challenge)以此对服务证明登录人拥有私钥。客户端的私钥只有在用户在设备上本地解锁之后才能使用。本地解锁是通过用户友好和安全的操作实现的，例如滑动手指，输入PIN，说话到麦克风，插入第二因素设备或按下按钮。

　　1. 系统将提示用户选择与在线服务接受的策略相匹配的可用FIDO验证器。

　　2. 用户使用指纹读取器（第二因素设备上的按钮）安全输入的PIN或其他方法来解锁FIDO验证器。

　　3. 用户设备创建本地设备，在线服务和用户帐户唯一的新的公钥/私钥对。

　　4. 公钥被发送到在线服务并与用户的帐户相关联。私钥和任何有关本地认证方法的信息（如生物特征测量或模板）不会离开本地设备。

　　1. 在线服务挑战(challenge)用户使用与先前注册服务的设备进行登录。

　　2. 用户使用与注册时相同的方法来解锁FIDO身份验证器。

　　3. 设备使用服务器提供的用户帐户标识符来选择正确的密钥并给挑战(challenge)签名

　　4. 客户端设备将签名送回服务器，由服务端验证验签，并作出是否允许用户登录的决定。

　　FIDO的大不同

　　FIDO的核心思想是（1）易用性，（2）隐私和安全性，（3）标准化。为了跨越密码（或OTP）的认证，这种传统上公司面临着一整套专有客户端和协议。

　　FIDO通过标准化客户端和协议层来改变这一点。这引发了一个蓬勃发展的生态系统的客户端认证方法，如生物识别，PIN和第二因素，这些第二因素验证以互操作的方式与各种在线服务一起使用。

　　FIDO的标准化由两组标准化构成：在线加密协议标准化和本地认证的客户端标准化。

　　在线加密协议标准化指FIDO标准化客户端和在线服务之间使用的认证协议。该协议基于标准公钥密码术-初始设置时客户端向在线服务注册公钥。稍后，当验证时，服务通过要求用户签名挑战(challenge)来验证客户端是否拥有私钥。该协议旨在确保用户在当前互联网状态下的隐私和安全性。

　　本地认证的客户端标准化指FIDO标准在客户端为用户执行的本地认证方法定义了一个通用接口。客户端可以预先安装在操作系统或Web浏览器上。可以通过该标准化接口将诸如安全PIN，生物识别（面部，语音，虹膜，指纹识别等）和第二因素设备的不同认证方法“插入”到客户端中。

　　FIDO现有规范

　　2016年12月7日，FIDO联盟已经宣布提供UAF1.1和U2F1.1规范。FIDO通过两个子协议实现安全登录（验证）。U2F标准是关于使用PIN和USB棒或者支持NFC的手机；第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。

　　FIDO U2F系列标准包括：FIDO U2F架构概要、FIDO U2F JAVASCRIPT API、FIDO U2F未处理消息格式、FIDO U2F HID协议、蓝牙协议、NFC协议、FIDO U2F实现注意事项、FIDO安全参考等。

　　FIDO UAF系列标准包括：FIDO UAF架构概要、FIDO UAF协议规范、UAF应用API和传输绑定规范、FIDO UAF认证器-详细模块API、FIDO UAF认证器指令、FIDO ECDAA算法规范、FIDO UAF APDU命令、FIDO UAF认证器元数据概述、FIDO UAF认证器元数据服务等等。

　　安全漏洞周报

　　上周漏洞基本情况

　　上周信息安全漏洞威胁整体评价级别为中。

　　上周共收集、整理信息安全漏洞396个，其中高危漏洞146个、中危漏洞216个、低危漏洞34个。漏洞平均分值为5.93。上周收录的漏洞中，涉及0day漏洞81个（占20%），其中互联网上出现“MicrosoftWindows Server 2003 R2 IIS缓冲区溢出漏洞、Joomla!jCart For OpenCart组件SQL注入漏洞”等零日代码攻击漏洞。此外，上周涉及党政机关和企事业单位的事件型漏洞总数1119个，与上周（624个）相比增加1.8倍。

　　上周重要漏洞安全告警

　　一、境外厂商产品漏洞

　　1、Microsoft产品安全漏洞

　　Microsoft Edge是美国微软（Microsoft）公司开发的一款Web浏览器，是Windows 10操作系统附带的默认浏览器。ScriptingEngine是其中的一个JavaScript引擎组件。上周，上述产品被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。

　　相关漏洞包括：Microsoft Edge脚本引擎内存破坏漏洞（CNVD-2017-03366、CNVD-2017-03367、CNVD-2017-03368、CNVD-2017-03369、CNVD-2017-03370、CNVD-2017-03371、CNVD-2017-03372、CNVD-2017-03373）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　2、Google产品安全漏洞

　　Android是美国谷歌公司和开放手持设备联盟共同开发的一套以Linux为基础的开源操作系统。MediaTek是使用在其中的一个联发科（MediaTek）公司的设备专用的联发科组件。NVIDIA GPUDriver是一个NVIDIA图形处理器驱动组件。上周，该产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

　　相关漏洞包括：Google AndroidMediaTek组件权限提升漏洞（CNVD-2017-03380、CNVD-2017-03381、CNVD-2017-03382、CNVD-2017-03383、CNVD-2017-03384、CNVD-2017-03385）、Google AndroidNVIDIA GPU Driver权限提升漏洞（CNVD-2017-03821、CNVD-2017-03836）。上述的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　3、Cisco产品安全漏洞

　　Cisco IOx是美国思科（Cisco）公司的一套为思科物联网网络基础设施提供统一托管功能的应用程序。Cisco AdaptiveSecurity Appliances Software是一套运行于防火墙中的操作系统。Cisco TelePresence ServerSoftware是一套被称为“网真”系统的视频会议解决方案。Cisco NX-OS是一个数据中心级的操作系统，Cisco UnifiedCommunications Manager是一款统一通信系统中的呼叫处理组件。Cisco WebEx MeetingsServer是WebEx会议方案中的一套包含音频、视频和Web会议的多功能会议解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、泄露敏感信息和发起拒绝服务攻击等。

　　相关漏洞包括：Cisco Iox任意文件修改漏洞、Cisco AdaptiveSecurity Appliances Software安全绕过漏洞、Cisco TelePresence Server Software权限提升漏洞、Cisco NX-OSSoftware拒绝服务漏洞（CNVD-2017-03769）、Cisco UnifiedCommunications Manager跨站脚本漏洞（CNVD-2017-03606）、Cisco UnifiedComputing System Director跨站脚本漏洞、Cisco WebEx Meetings Server认证绕过漏洞、Cisco WebExMeetings Server XML外部实体信息泄露漏洞。其中“Cisco WebEx MeetingsServer XML外部实体信息泄露漏洞”的综合评级为“高危”。目前，厂商已经发布了除“Cisco Unified ComputingSystem Director跨站脚本漏洞、Cisco WebEx Meetings Server认证绕过漏洞、Cisco WebExMeetings Server XML外部实体信息泄露漏洞”外漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　4、SAP产品安全漏洞

　　SAP HANA是德国思爱普（SAP）公司的一套高性能的实时数据分析平台。SAP NetWeaver是一套面向服务的集成化应用平台。SAP ERP是一套基于客户/服务机结构和开放系统的、集成的企业资源计划系统。SAP GUI是图形用户界面客户端。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制、远程执行任意代码或发起拒绝服务攻击等。

　　相关漏洞包括：SAP ERP远程授权绕过漏洞、SAP NetweaverDynpro Engine拒绝服务漏洞、SAP NetWeaver存在未明安全绕过漏洞、SAP ERP远程身份验证绕过漏洞、SAP GUI远程代码执行漏洞、SAP HANAExtended Application Services SQL注入漏洞、SAP HANA拒绝服务漏洞（CNVD-2017-03576）、SAP HANA WebWorkbench SQL注入漏洞。其中，“SAP GUI远程代码执行漏洞、SAP HANAExtended Application Services SQL注入漏洞、SAP HANA拒绝服务漏洞（CNVD-2017-03576）、SAP HANA WebWorkbench SQL注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　CFCA评论

　　中国电子银行网特约中国金融认证中心（CFCA）信息安全专家，对漏洞风险作出如下小结：上周，Microsoft被披露存在内存破坏漏洞，攻击者可利用漏洞执行任意代码。此外，Gooole、SAP、Cisco等多款产品被披露存在多个漏洞，攻击者利用漏洞可执行任意代码、绕过安全限制、泄露敏感信息或发起拒绝服务攻击等。另外，Wonder被披露存在路径遍历漏洞，远程攻击者可借助特制的theme利用该漏洞读取任意文件。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决。

　　（中国电子银行网综合安全牛、FreebuF、移动支付网、苏宁财富资讯、中科院信息科技战略情报、易观、中国人民银行网站报道）　　

责任编辑：韩希宇