国盟信息安全通报第3期.pdf

资源描述

1、2011 年年 8 月月 15 日日第第三三期期（主办主办）国际信息安全学习联盟国盟信息安全通报（2011 年 8 月 15 日第三期） 2 国盟国盟信息安全信息安全通通报报（第 3 期）国际信息安全学习联盟国际信息安全学习联盟 2011 年 8 月 15 日根据中国国家信息安全漏洞库（CNNVD）的统计，本期（2011年 8 月 1 日至 2011 年 8 月 15 日）新增安全漏洞 120 个，与上个月平均增长数量相比，新增安全漏洞数量有所上升，其中Microsoft 新增漏洞 22 个。根据补丁信息统计，本周共有 57 个漏洞被修复，修补率为 73.08%，其中

2、4 个危急漏洞已被修补，危急漏洞修补率为 100.00% 国盟信息安全通报（2011 年 8 月 15 日第三期） 3 主要内容主要内容一、概述一、概述 . 1 1 二、安全漏洞增长数量及种类分布情况二、安全漏洞增长数量及种类分布情况 . 1 1 三、安全产业动态三、安全产业动态 . 3 3 金山毒霸声明：邀请 360 共同推动制定杀软性能评测标准 . 3 趋势科技与杜蕾斯合作为网民提供“安全、轻快”体验 . 4 快播组件漏洞公开 360 独家防御攻击 . 6 卡巴斯基提醒广大网民“粘滞键后门程序”出现新变种 . 7 四、政府之声四、政府之声. 8 8 工信部将对 ISP 和 IDC 重新

3、审核发牌市场面临洗牌 . 8 韩政府将分阶段废除因特网实名制以保护用户隐私 . 9 邮储银行联网核查系统存漏洞假身份证骗走 40 万 . 9 警告:黑客可攻击医疗设备导致病人死亡 . 13 港交所“披露易”再被黑客攻击瘫痪. 14 五、本期重要漏洞实例五、本期重要漏洞实例 . 1414 微软发布 2011 年 8 月安全公告 . 14 多个厂家路由器设备 OSPF 协议远程安全漏洞 . 15 WordPress TimThumb 插件远程代码执行漏洞 . 15 IBM InfoSphere Information Server 权限提升漏洞 . 16 HP OpenView Perform

4、ance Insight 安全绕过和 HTML 注入漏洞 . 17 六、本期网络安全事件六、本期网络安全事件 . 1717 Google+承认存漏洞致用户聊天被实时监听 . 17 香港电讯局电脑失窃 550 名内部员工隐私或外泄 . 18 德国安全专家成功破解 GPRS 加密算法 . 19 韩国黑客里程碑：七成韩国人资料被盗取 . 20 黑客竞赛：甲骨文等大企业员工安全意识差 . 21 注：注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办一、概述一、概述国盟信息安全通报是

5、根据中国国家信息安全漏洞库（CNNVD）和各大信息安全的综合统计分析，本周新增安全漏洞120个。其中高危漏洞59个、中危漏洞55个、低危漏洞6个。上述漏洞中，可利用来实施远程攻击的漏洞有115个。网上已经出现针对 “Microsoft Windows CSRSS SrvGetConsoleTitle()本地类型转换漏洞”、“WordPress Timthumb插件timthumb目录任意文件上传漏洞”等的零日攻击代码，请使用相关产品的用户注意做好防护措施。本周收录的漏洞中，已有73个漏洞由厂商提供了修补方案，建议用户及时下载补丁更新程序，避免遭受网络攻击。截至2011年8月15日，C

6、NNVD漏洞总量已达46887个。二、安全漏洞增长数量二、安全漏洞增长数量及种类分布及种类分布情况情况全部全部高高危漏洞分布图：危漏洞分布图：2011.08.01-2011.08.15 (日日): 国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办漏洞产生的原因分布图（漏洞产生的原因分布图（2011 年年 8 月月 01 日日-2011 年年 8 月月 15 日）日）漏洞引发的威胁分布图（漏洞引发的威胁分布图（2011 年年 8 月月 1 日日-2011 年年 8 月月 15 日）：日）：国盟信息安全通报（2011 年 8 月 15 日第三期）国

7、盟信息安全研究小组主办漏洞被攻击的类型分布图：漏洞被攻击的类型分布图：三、三、安全安全产业动态产业动态金山毒霸声明：邀请金山毒霸声明：邀请 360 共同推动制定杀软性能评测标准共同推动制定杀软性能评测标准近期，灰帽子安全实验室发布名为“杀软宪兵”的绿色开源软件，旨在对杀毒软件卡机性能进行评测，一时间引发了国内某厂商的敏感神经，对此，金山网络声明如下： 1、杀软宪兵是一款第三方绿色开源软件，其评测原理、方法完全公开透明，主要是采用自动在电脑中快速模拟文件和注册表读写，来检测杀毒软件拖慢系统的时间。金山认为，杀软宪兵的评测方法虽然不够严谨和完美，比较简单粗糙，但是也能侧面反应出杀软的真

8、实性能状况。 2、作为国内首款针对杀软性能测试的工具，杀软宪兵具有积极的作用，能够促使杀毒软件厂商开始关注软件对电脑系统资源占用的状况，改变以往落后的杀毒理念和技术，带给用户既安全又轻巧的体验。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办 3、金山毒霸 2012 猎豹虽然以快速、轻巧等特性领先行业，但是我们注意到，部分用户使用杀软宪兵时也并未取得极致的评测成绩，这将鞭策我们不断对金山毒霸进行产品优化。同时，我们欣慰的看到，在金山毒霸 2012 发布一个月后，360 杀毒也跟随推出了 3.0 迷你版。 4、最近几天，360 安全卫士和 360 杀毒做

9、了频繁的优化，在杀软宪兵的成绩中不断提高，360 安全卫士已经从卡机王的榜首到了第三名，这些都说明，安全行业已经开始重视软件对电脑性能消耗的问题。 5、金山网络将邀请 360 等同行公司、政府主管部门工信部、互联网协会等共同构建杀毒软件性能评测的标准，促进全行业的快速发展。 360 今年 5 月发布报告指出， 70%用户电脑不健康，系统资源消耗过大，对此我们深表赞同，我们希望双方能够搁置争议，携起手来，为解决用户电脑不健康问题迈出实质的一步。另，针对某公司在网上散布的不实言论，回应如下： 1、杀软宪兵的源代码完全公开，评测方法对所有软件均一致，不存在刻意偏袒金山毒霸的行为，请某公司多

10、思考自身产品的问题，而不是第一时间对金山毒霸进行攻击和污蔑。 2、根据杀软宪兵源代码中有一个名为YangXiaoDong 的文件名、灰帽子旗下网站备案人名为宋海波，就声称这两个名字和金山某员工同名，据此大肆传播杀软宪兵是金山制作。如果这个逻辑可以成立，那么 360 官网公开致谢灰帽子是不是更可以解读为这两家组织此前有不可告人的联系，360 在杀软宪兵发布不到 24 个小时立刻组织上百篇各种类型稿件发布抹黑金山，杀软宪兵其实是 360 更大的阴谋前奏？ 3、据 360 官方资料，在今年 5 月 27 日，正是 360 公开感谢灰帽子实验室为其找出的重要漏洞，这是首次有公开资料可查的灰帽子

11、实验室与杀毒软件企业有联系的行为。 4、金山网络期望争议能够回归技术本质，为杀软性能评测指标贡献出新的检测方法，不断完善这一开源的评测软件，单纯的抹黑谩骂不能给用户带来什么实质的好处，请国内某安全企业把精力放在技术能力的提升上。趋势科技与杜蕾斯合作为网民提供“安全、轻快”体验趋势科技与杜蕾斯合作为网民提供“安全、轻快”体验全球虚拟化安全及云计算安全的厂商-趋势科技公司宣布即日起与世界安全套第一品牌杜蕾斯公司，联合开展安全轻快为主题的微博网友互动活动。在活动期间内，新浪国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办微博网友只需同时

12、关注趋势科技（ http:/ ）和杜蕾斯（http:/ 云安全软件 2011 版一套。趋势科技和杜蕾斯作为来自完全不同领域的全球知名品牌，首次跨界合作是基于双方长期秉持的以创新确保用户体验的品牌宗旨：趋势科技是全球最领先的云计算安全软件制造商，近年来投入五亿美元致力为全球互联网用户提供对电脑系统占用资源最少的云计算安全软件，以确保全球及中国广大互联网用户享受到最安心的移动互联生活快乐生活；而杜蕾斯产品同样以安全、耐用，以及不断创新的超薄款等产品获得了世界各地上百万用户长期信任。本次双方的联合，将为中国网络个人用户提供由世界最创新科技的确保的安全、轻快的互联网体

13、验。本次微博主题活动将于2011 年 8 月 9 日起一周时间内将通过新浪微博抽取 77 名幸运粉丝并颁发奖品。同期，趋势科技还将在本次活动期间特别推出限时特惠抢购活动：8月 9 日至 8 月 15 日，网友们只要访问趋势科技中国的官方网站：http:/ ，就可以超低价格秒杀到趋势科技 PC-cillin 云安全软件 2011 版（1 年 1 用户全功能版仅售 29元，3 年 3 用户全功能版 79 元），以极低的成本体验最具品牌保证的正版软件。随着移动互联时代的真正到来，持续、可信的用户体验已成为了衡量、决定品牌价值的最关键标准。此次品牌联合将再次验证趋势科技 PC-cillin 云

14、安全软件凭借其独有的主动式云安全截毒技术，可为个人网络用户提供的最有效的信息及数据安全保护服务。该产品面世以来已连续通过包括 Dennis Technology Labs、美国西海岸实验室、 NSS Labs、AV Test、 Tolly 等多家国际权威评测机构的真实评测，多次获得全面超越市场同类个人安全软件产品的最佳成绩。此外，趋势科技还成功将云计算技术成功应用到个人安全软件中，从而使安全软件对系统效率的影响降低了高达 80%以上。凭借趋势科技的云计算安全技术，用户基本上无需更新本地病毒库，可以在轻松确保电脑系统及数据安全的基础上，体验轻快的电脑高效系统运行：无论运行多媒体数

15、字内容还是长时间联网社交，都可以充分享受云时代的效率。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办快播组件漏洞公开快播组件漏洞公开 360 独家防御攻击独家防御攻击 8 月 5 日消息，针对日前有技术论坛曝光快播（Qvod）组件漏洞一事，360 安全中心紧急启动“漏洞防御机制” ，最新推出的 360 安全卫士（8.2Beta 版）已在 360 官网发布，是国内唯一能够真正自动防御快播漏洞攻击的安全软件。据 360 安全专家分析，快播的这一漏洞是由于其组件 QvodInsert.dll 处理数据包的bug 导致。如果有黑客利用该漏洞在视频网站挂马

16、，而且快播用户恰好使用 IE 浏览器播放此类视频，木马病毒就会偷偷感染用户电脑。此前有消息称，下载快播播放器时检测病毒就能防御漏洞攻击。然而据 360 安全中心验证，快播漏洞主要通过网页传播病毒，和播放器是否捆绑病毒毫无关系，因此一些厂商对漏洞的理解存在偏差。与之不同，新版 360 安全卫士可以自动识别所有快播在线视频网页，当用户打开此类页面时将 IE 浏览器“隔离”运行，从而使病毒无法侵入电脑。鉴于快播漏洞曝光不久，目前并没有被黑客大规模利用，360 安全中心也已将该漏洞细节通知快播公司，推动其尽快修复漏洞。对于快播播放器的广大用户，360 安全专家建议如下： 1、注意及时更

17、新快播播放器软件，以便第一时间修复漏洞； 2、安装使用最新 360 安全卫士 8.2Beta 版，可自动隔离运行快播视频网页，完全不受该漏洞影响。 3、360 安全卫士 8.1 正式版及以前版本的用户，可通过卫士主界面“功能大全”打开“360 隔离沙箱” ，启动安全视频搜索观看网上视频，即可不受快播漏洞的影响。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办卡巴斯基提醒广大网民“粘滞键后门程序”出现新变种卡巴斯基提醒广大网民“粘滞键后门程序”出现新变种除了编写新的恶意程序外，网络黑客还经常就现有的恶意程序进行改进，加入新功能或特性，这种恶意程序就是

18、所谓的变种。一些恶意程序的变种种类繁多，造成的危害也较为严重，查杀较为困难。之前，卡巴斯基实验室曾经介绍过“粘滞键后门程序”。而近日，卡巴斯基截获到其一种最新的变种，名为 Backdoor.Win32.VB.nvt。该恶意程序同样采用 VB 编写，入侵计算机后，会将系统程序替换为该后门程序。当黑客通过远程桌面连接用户计算机时，只需五次按下 shift 键，就会启动伪造的“粘滞键”程序。黑客在伪造“粘滞键”程序中的某个特殊位置编写了消息响应代码，只要点击该区域即可激活后门代，由于激活方式隐蔽，所以很难被发现。见下图：国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安

19、全研究小组主办点击红框位置可以激活后门点击红框位置可以激活后门激活后，后门程序会提示输入后门密码，防止其他人使用该后门。如下图：激活后需要输入密码激活后需要输入密码目前，卡巴斯基所有产品均可以对“查杀粘滞键后门程序”以及新变种进行查杀。用户只需保持反病毒数据库更新即可有效拦截该后门程序。卡巴斯基实验室同时提醒广大网民，不要轻易下载和运行来历不明的程序，以免感染造成损失。四、四、政府之声政府之声工信部将对工信部将对 ISP 和和 IDC 重新审核发牌重新审核发牌市场面临洗牌市场面临洗牌工信部正在酝酿对 ISP 和 IDC 重新进行审核发牌，如果新的牌照发放标准确定，除了意味着停

20、办两年的牌照发放重新启动，为不少企业发展带来新机遇外，众多 IDC 企业的资质将被重新界定，行业门槛提高，IDC 市场将面临洗牌的可能。本周，有媒体报道称，工信部正在酝酿对 ISP（互联网接入服务）和 IDC（因特网数据中心业务）重新进行审核发牌，此次审核主要为了规范 IDC 企业经营业务范围及资质的明确划分。如果新的牌照发放标准确定，除了意味着停办两年的牌照发放重新启动，为不少企业发展带来新机遇外，众多 IDC 企业的资质将被重新界定，行业门槛提高，IDC 市场将面临洗牌的可能，而部分早期获得过牌照但并无经营能力的小公司则可能被清理出局。国盟信息安全通报（2011 年 8 月 15

21、日第三期）国盟信息安全研究小组主办韩政府将分阶段废除因特网实名制以保护用户隐私韩政府将分阶段废除因特网实名制以保护用户隐私据韩联社报道，为了减少在因特网上非法搜集个人信息的行为，韩国政府决定分阶段废除因特网实名制。据悉，韩国的因特网实名制是2007年7月开始启动的确认身份制度，目的是对因特网上的帖子和跟帖要求网民作出负责任的态度。但是随着网上搜集的个人信息大批量被偷窃或泄露之后，舆论出现废除要求。据韩联社报道，为了减少在因特网上非法搜集个人信息的行为，韩国政府决定分阶段废除因特网实名制。据悉，韩国的因特网实名制是 2007 年 7 月开始启动的确认身份制度，目的是对因特网上的帖子

22、和跟帖要求网民作出负责任的态度。但是随着网上搜集的个人信息大批量被偷窃或泄露之后，舆论出现废除要求。据韩国媒体 7 月份报道，韩国国内某著名门户网站遭到黑客袭击，造成 3500 万名用户信息泄漏，规模空前。被泄漏的信息包括未经加密的用户名、用户姓名、电话号码、电子邮件和经加密的密码、身份证号码等等。由于用户姓名和电话号码大量被泄漏，有可能出现利用这些个人信息的电话诈骗、发送垃圾邮件等非法行为。韩国行政安全部 11 日在与大国家党举行的党政会议上介绍了“个人信息保护综合对策” 。对策主要内容为：分阶段废除因特网实名制；个人或企业利用身份证时事先获得政府批准；完善同意搜集个人信息有关

23、制度。与会的大国家党有关人士表示，往后将会继续讨论限制在因特网上搜集身份证号码、设定个人信息有效期、引进网上个人识别号码(i-pin)制度等方案。邮储银行联网核查系统存漏洞邮储银行联网核查系统存漏洞假身份证骗走假身份证骗走 40 万万 2011 年 5 月 30 日，天津商人王维（化名）第一次来到哈尔滨市阿城区。他没有料到，就在他到达阿城“金融街”上的金京大厦那一刻起，一张网就已为他逐渐收紧。据王维后来的讲述，几天时间内，以“谈生意”为名电话邀请他来阿城的一伙人熟练地通过一套操作严密的流程，伪造了他的身份证，利用中国邮政储蓄银行（以下简称邮储银行）联网核查系统的漏洞，骗走其 40

24、万元。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办 40 万元货款被骗万元货款被骗王维称，他在天津接到一个来自哈尔滨阿城的电话，打电话的人自称姓杨，并称有一批钢材急于出手，质量和价格听起来都很有诱惑力，而王维正是做钢材生意的。王维于是动身去哈尔滨阿城。5 月 30 日上午，两人在金京大厦碰面，他尚未办入住手续就直接去工地看了钢材，中午回到金京大厦后，杨先生以帮忙开户为由向王维索要身份证。40 分钟后，杨将身份证还给了王维，并以与邮储银行是合作单位为由要求王维尽快办理一张邮储银行的存折，以便第二天就可以付款、装货。王维认为既然对方执意要求从

25、邮储银行走账，不过就是多办一张存折而已，于是就跟着杨先生去了金京大厦附近的邮储银行延川南路支行办理存折。当王维将自己的身份证和开户申请书递向柜台里的时候，杨抢着付了 100 块钱作为开户交易金额。柜台员将存折和身份证等证件递出来时，杨又先接了过来，再递给王维。当天下午王维就让爱人给新开的邮储银行存折打进了 40 万元现金。但第二天下雨，杨表示雨天装货不便，约好第三天上午 7 点一起去工地，并专门安排一个人陪了王维一天。第三天早晨七点，王维拨了杨的电话，不通，再拨，还不通。他有些紧张，下楼去银行查了存折，上面显示余额仅有 100 元。 40 万不翼而飞！但存折一直在自己手上，钱为

26、何会被取走呢？王维始终想不明白。他迅速拨通了当地警方的电话。警方介入后，王维才从邮储银行哈尔滨阿城支行得知，他手上的存折并非在延川南路支行办理，而是在延川支行办理的。原来在 5 月 30 日上午，那位杨先生在办理开房的短短 40 分钟时间内，用王维的身份证信息和自己的照片伪造了一张身份证，并用这张身份证在邮储银行延川支行办了一张存折并开通了网银，而且开户交易金额与后来王维开户时他给代付的金额一样都是100 元。王维在延川南路支行办理的存折在柜台递出时便被对方调包，但在这过程中王维丝毫没有发觉。所以，王维给家人报的存折号是对方办的那张存折号，家人实际上将钱汇进了对方办的存折，虽然这

27、份存折一直都在王维手上，但杨先生这伙人在 5 月 31日(下雨那天)上午 8 时许开始用网银分 17 次将 40 万元现金全部取走，折里只留下 100元。开户联网查询看不到照片开户联网查询看不到照片骗子为什么能用假身份证开户成功呢？国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办据记者了解，邮储银行在办理开户时可能缺失了将真人与联网查询系统中原公安录入身份证照片相核对这一重要环节。记者在哈尔滨市区办理了光大、工行、农行、邮储等银行的存折，并请柜台工作人员现场为记者展示联网核查的结果。结果显示，除邮储银行外，其他银行的联网核查分别显示照片、原录入姓

28、名、原录入身份证号码和签发机关，核对结果为，“号码与姓名一致，且照片存在。” 记者一位朋友在上述杨先生用伪造身份证开户的邮储银行延川支行办理了开户，柜台电子终端虽然也显示“公民身份号码与姓名一致，且存在照片”，但柜台显示器上并不显示照片。记者在哈尔滨市其他邮储银行网点办理开户业务时也是一样的结果。记者向柜台工作人员询问，是否在邮储银行的后台可以看到照片？对方表示，看不到，但照片肯定存在，否则将显示“公民身份号码与姓名匹配，且不存在照片”或“公民身份号码与姓名不匹配”。为了核实邮储银行在其他地区联网核查情况，记者托朋友在天津的一家邮储网点开户，联网查询也是未显示照片。记者又到北京市一家邮

29、储银行网点办理存折，柜台工作人员说，柜台看不到照片，但后台可以看到，只是柜员办理业务时都很忙，如果办折人所持身份证照片和其相貌相符时，一般不会去后台核实照片。邮储银行北京网点的情况和哈尔滨网点相同的是，工作人员在柜台办理开户业务进行联网核查时都看不到公安系统存储的客户身份证照片，不同的是一个说后台有但没时间去看，一个是说后台也不显示照片。但不管后台是否显示照片，对于前台的柜台员办理开户业务所产生的影响是一样的。邮储银行哈尔滨阿城支行法务人员和柜台工作人员表示，全国的邮储银行系统是一样的。有制度未执行有制度未执行国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信

30、息安全研究小组主办邮储银行哈尔滨阿城支行的法务人员称， “我们的柜员天天办业务，如果申请办折人（所持）身份证照片和本人有明显相貌差距，我们一眼就能看出来。在此案中，办折人姓名和身份证上的显示一致，（其所持）身份证照片和本人体态特征相符，而且（其所持）身份证照片上的人和营业厅录像录下的办卡人一致，所以在业务的办理过程中，我们不存在失误。并且经过联网核查也无误，邮储银行已经尽到了核查义务。” 但从监管层和邮储银行一系列规定看，开户不仅需要核实开户人本人与其所持身份证照片一致，还要核实开户人本人及所持身份证照片与联网查询中公安系统原录入身份证照片是否一致。个人存款账

31、户实名制规定（国务院令第 285 号）要求从 2000 年 4 月 1 日起，“在金融机构开立个人存款账户的，金融机构应当要求其出示本人身份证件，进行核对，并登记其身份证件上的姓名和号码。” 为了准确核实身份，2007 年 6 月底，人民银行会同公安部建成运行了联网核查公民身份信息系统，当年发布的中国人民银行、公安部关于切实做好联网核查公民身份信息有关工作的通知称， “建设运行联网核查系统、推广应用联网核查是人民银行和公安部推动落实银行账户实名制的一项重要举措。有利于减少因账户假名或匿名造成的经济纠纷，遏制金融欺诈。” 中国邮政储蓄银行储蓄业务制度第六十七条明确规定， “联网核查公民身份信

32、息时，邮政储蓄机构通过登录中国人民银行信息转接系统，访问公安部全国公民身份信息系统，对客户提供的个人居民身份证所记载的姓名、公民身份证号码、照片以及签发机关的真实性进行核查。” 黑龙江朗信律师事务所律师刘玲玲表示，虽然当地邮储银行的法务人员坚称银行在本案中不存在过错，还表示营业网点工作人员的操作流程也无错误，但银行联网核查流于形式，未做到真正的“金融实名制”，致使受害人资金在银行受到损失。不法分子显然对邮储银行的系统很熟悉，正是利用联网核查系统漏洞，伪造他人身份证件到该行开立账户。不法分子盗用他人的身份信息，换上自己的照片，大摇大摆地去银行开户，而银行的电脑核查终端却只得出“姓名

33、与身份证号码一致，且存在照片”的反馈信息，从而做出错误的核查判断结论。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办大成律师事务所高级合伙人、北京市律师协会金融衍生品委员会秘书长谷树元律师认为，在本案中不法分子骗取银行客户 40 万的情况比较极端，如果银行能通过包括但不限于核对照片的方式进行联网核查，或将能识别不法分子与公安部系统存储的照片不同，从而避免类似事件的发生。据 “中国人民银行办公厅关于印发银行业金融机构联网核查公民身份信息业务处理规定（试行）和联网核查公民身份信息系统操作规程（试行）的通知（银办发2007126 号）”规定：银行机构

34、应将联网核查作为验证居民身份证信息真实性的主要方式。银行机构未按照业务处理规定和操作规程的要求进行联网核查，造成不法分子开立假名银行账户或以虚假居民身份证件办理按照法律、法规或部门规章规定应核对相关个人的居民身份证件的支付结算业务的，人民银行将依法从重进行处罚。警告警告:黑客可攻击医疗设备导致病人死亡黑客可攻击医疗设备导致病人死亡黑帽大会上有安全研究人员 Jay Radcliffe 表示，他找出了一些来自医疗设备的生命威胁，一个具有强大发射天线的攻击者甚至可以在半英里的距离之外通过远程操控自动注射装置杀死患者。他以一个胰岛素注射泵和血糖监测仪来演示了这种状况，无线他以一个胰岛素注射

35、泵和血糖监测仪来演示了这种状况，无线设备很容易遭到窃听，只要完成对设备的通信逆向工程就可以实现加快注射泵的工作设备很容易遭到窃听，只要完成对设备的通信逆向工程就可以实现加快注射泵的工作进程，病人很可能就会因为血糖过低而死亡。进程，病人很可能就会因为血糖过低而死亡。除此之外心脏起搏器等嵌入式医疗设备也有相应的遭到攻击的危险，这种攻击方法可以用于恐怖主义和暗杀活动。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办港交所“披露易”再被黑客攻击瘫痪港交所“披露易”再被黑客攻击瘫痪证券时报记者获悉，港交所(00388.HK)发言人 8 月 11 日上午表示，

36、旗下的“披露易”网站再次被黑客攻击而瘫痪，造成用户登入困难，目前信息技术部门人员正在处理。不过，发言人强调由于投资者可通过临时设立的 “上市公司公告板” 网页查阅企业通告，因此今日中午休时时公布业绩的公司无须像昨天那样被要求停牌。据悉，今日中午休市公布业绩的公司包括太古集团和永亨银行等。五、本五、本期期重要漏洞实例重要漏洞实例微软发布微软发布 2011 年年 8 月安全公告月安全公告北京时间 8 月 11 日消息，微软公司于 8 月 10 日清晨发布了 8 月安全公告，本月安告包括 13 个安全补丁，修复 22 个漏洞。其中 7 个漏洞涉及 IE 浏览器。按照微软的严重等级和漏洞

37、影响评级划分，2 个为最高级别的严重漏洞，重要等级的漏洞为 9 个，其余 2 个为中等级别。主要受影响的软件及位置包括：IE 浏览器、DNS 漏洞，DAC、Office、路由和远程漏洞，Windows 内核和.NET 漏点击我下载：点击我下载：微软官方微软官方 20112011 年年 8 8 月补丁信息月补丁信息国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办多个厂家路由器设备多个厂家路由器设备 OSPF 协议远程安全漏洞协议远程安全漏洞发布日期：2011-08-04 更新日期：2011-08-04 受影响系统： Cisco 7200 安全级别：

38、描述： - BUGTRAQ ID: 49049 多个厂家的路由器产品由于OSPF协议规范的设计错误存在远程安全漏洞。远程攻击者需要连接器路由器到受害者网络也需要LSA流量的加密密钥，然后通过诱使网络用户接受受控路由器处的LSA更新，创建网络路由器循环，攻击者可利用这些漏洞造成拒绝服务，执行未授权操作。建议： - 厂商补丁： Cisco - 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http:/ WordPress TimThumb 插件远程代码执行漏洞插件远程代码执行漏洞发布日期：2011-08-03 更新日期：2011-08-0

39、3 国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办受影响系统： WordPress TimThumb 1.32 安全级别：描述： - WordPress 是一种使用 PHP 语言和 MySQL 数据库开发的 Blog（博客、网志)引擎，用户可以在支持 PHP 和 MySQL 数据库的服务器上建立自己的 Blog。 WordPress TimThumb 插件在实现上存在远程代码执行漏洞，远程攻击者可利用此漏洞在受影响应用程序中执行任意代码。此漏洞源于脚本没有正确远程检查上传的缓存文件，通过构造带有有效 MIME 类型的图像文件，然后再附加 PHP 代

40、码，可欺骗 TimThumb 使其认为是合法图像，然后本地缓存在缓存目录。建议： - 厂商补丁： WordPress - 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http:/wordpress.org/ IBM InfoSphere Information Server 权限提升漏洞权限提升漏洞发布时间： 2011-08-11 更新时间： 2011-08-11 安全级别：漏洞类型：权限许可和访问控制国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办威胁类型：本地 IBM InfoSpher

41、e Information Server 是一款数据集成软件平台，可以帮助企业从分散在系统中的复杂的异类信息中获得更多价值。在 IBM InfoSphere DataStage 8.5，8.5.0.1 版本和其他产品中使用的 IBM InfoSphere Information Server 8.5 和 8.5.0.1 版本为未明文件使用弱许可权限。本地用户可借助未知向量获得特权。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： https:/ HP OpenView Performance Insight 安全绕过和安全绕过和 HTML 注入漏洞注入漏洞发布时间： 2011-

42、08-11 更新时间： 2011-08-11 安全级别：威胁类型：远程 HP OpenView Performance Insight 中存在安全绕过漏洞和 HTML 注入漏洞。远程攻击者可借助 HTML 注入漏洞注入可运行在受影响站点上下文中的恶意 HTML 和脚本代码，并窃取基于 cookie 认证证书或者控制站点如何呈现给用户，攻击者可借助安全绕过漏洞绕过某些安全限制并在受影响应用程序中执行非法操作。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http:/ 六、本期网络安全事件六、本期网络安全事件 Google+承认存漏洞承认存漏洞致用户聊天被实时监听致用户聊天

43、被实时监听假如某用户同时登录了 Gmail 和 Google+，然后保持窗口开启。如果他的 Wifi 连接中断一分钟，导致Google+中的Google Talk对话失去同步并在几分钟后重新连接。这时，国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办如果另一位用户来使用这台电脑并登录自己的 Gmail 帐户，这时前一位用户的 Google+网页中的 Google Talk 功能就会认为现在应重新与主页互联，然后自动与后一位用户的Google Talk 连接在一起。北京时间 8 月 10 日消息，据国外媒体报道，谷歌已经承认，Google+的 Go

44、ogle Talk 功能中存在一个漏洞，可能会让用户在某些情况下看到共享电脑上的其他用户的 IM 联系人清单和通话记录，甚至可能造成用户聊天被实时监听。谷歌表示，公司正在研究解决该问题的办法。据悉，这个漏洞还会影响到拥有多个谷歌帐户的用户，这说明Google+也许需要通过某种方式来将用户的不同帐户链接起来。 Google+为用户提供了一个 Google Talk 聊天功能，允许用户进行即时通讯。谷歌的Gmail 中也整合了类似的功能。这些功能通常与谷歌的即时通讯服务联系在一起，也许这就是该漏洞的问题所在。假如某用户同时登录了 Gmail 和 Google+，然后保持窗口开启。如果他的 W

45、ifi 连接中断一分钟，导致Google+中的Google Talk对话失去同步并在几分钟后重新连接。这时，如果另一位用户来使用这台电脑并登录自己的 Gmail 帐户，这时前一位用户的 Google+网页中的 Google Talk 功能就会认为现在应重新与主页互联，然后自动与后一位用户的Google Talk 连接在一起。如果第二位用户将电脑的使用权还给第一位用户，第一位用户会发现他仍然登录在第二位用户的 Google Talk 帐户上。更糟糕的是，第二位用户利用各种设备发送的即时通讯信息都会自动延迟发送到第一位用户的帐户页面上。谷歌发言人称，这种漏洞和问题比较少见，公司正在设法解

46、决。他还指出，谷歌一直建议用户在使用完公用电脑后退出帐户。但这对于第二位用户来说并没有什么用，因为他虽然关闭了窗口，但他的 Google Talk 对话仍处于登录状态。实际上，第一位用户这时可以同时进入他自己的 Google Talk 帐户和第二位用户的帐户，而且无需登录第二位用户的 Gmail 帐户。坦白说，可能遇到这个问题的用户并不会很多，但有一些拥有多个谷歌帐户的用户声称也遇到了同样的问题。谷歌必须开发出一种方法来识别同一身份背后的多个谷歌帐户。香港电讯局电脑失窃香港电讯局电脑失窃 550 名内部员工隐私或外泄名内部员工隐私或外泄中新网 8 月 12 日电据香港文汇报报

47、道，香港电讯管理局一名职员 11 日晨于湾仔被人盗去公务手提电脑，内储电讯局紧急应变系统的内部手册，并有紧急应变系统小组成员的个人数据及其它政府部门或地区人士等的个人资料，受影响人数约 550 人。香港电讯局已将事件向警方、政府信息科技总监办公室及个人资料私隐专员公署报告，并第一时间通知受影响人士，及向他们致歉。电讯局指出，该部遭人盗去的手提电脑设有密码保护，内里储存该局紧急应变系统的内部手册，含有小组成员的个人数据，包括姓名、职衔、办事处及流动电话号码、传真号国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办码、电邮或通讯地址。该手册载

48、列的数据并涉及电讯网络营办商、政府其它决策局部门、离岛区议会、乡事委员会、乡村及学校的代表，受影响人数约 550 人。电讯局允彻查有密码保护装置电讯局对事件深表遗憾，并承诺会彻查，防止同类事件再发生，并会加紧提醒员工遵循保障个人资料的最佳做法。电讯局补充，该局内部有公务手提电脑的使用守则，该部遭人盗去手提电脑设有密码保护。港府部门及公营机构近年先后发生多宗遗失个人资料事故，以医管局问题较为严重，如今年 4 月玛丽医院儿科遗失 1 只载有 19 名儿科病人的 USB 手指、今年 2 月葵涌医院一名职业治疗师回家途中遗失载有 59 名病人资料的 USB 手指；去年 7 月玛丽医院被偷去

49、载有约 800 名癌症病人及数十名义工数据的计算机硬盘机。德国安全专家成功破解德国安全专家成功破解 GPRS 加密算法加密算法据德国商报周三报道，柏林一家安全公司透露说，它们已经破解一些手机的加密算法，这些手机可以使用互联网。安全研究实验室（ Security Research Labs）主管卡斯藤诺尔（Karsten Nohl）说，破解后可以窃听GPRS。用户一般会利用GPRS来阅读邮件、浏览网页。诺尔说：“通过我们的技术，可以在半径5千米内捕获GPRS数据通信。” 诺尔说，采用新的UMTS标准会更安全一些，但破解还是会影响到工业设备、征费系统、以及使用GRPS的设备，如苹果iPhone和iPad，在一些边远的地区，设备会转向老式的GPRS。全球的手机网络几乎全部支持GPRS，因此攻击才会管用。在意大利，电信商Wind或者意大利电信根本不加密，而德国的T-Mobile、O2德国、沃达丰、E-Plus会加密，但太弱，可以轻易被未授权者读取。在2011年的Chaos通信大会上，诺尔会允许业余黑客不加密查看GPRS，他还会演示密码分析方法。国盟信息安全通报（2011 年 8 月 15 日第三期）国盟信息安全研究小组主办诺尔在接受采访时说：“明天推出拦截软件，它会置不加密的GPRS运营商

展开阅读全文