【专家视点】通联支付被指违规发展商户

【央行行长周小川：中国对外支付能力不用担心】
　　外汇储备像水库里的水，上游不断有水进来，下游也不断地出，中间部分是外汇储备。我国保持对外支付能力，目前没有值得担心的地方。<<详细
　　【通联支付被指违规发展商户 POS代理商卷款600多万跑路】
　　手刷POS机因使用非常方便，得到一部分用户青睐。用户只要在手机上下载通联慧支付的APP，填入常用手机号码、身份证信息，设置好密码就能注册成功。<<详细
　　【指纹支付弱爆了 万事达将推出人脸支付】
　　万事达日前宣布将在全球十几个国家推出“人脸支付”，另外该公司也在研发利用人体心电波(心跳)来验证身份的最新技术。<<详细
　　【PayPal宣布新版Android APP将支持NFC支付功能】
　　即将发布的新版本支持NFC支付功能的APP将在今年晚些时候在美国和澳大利亚地区推行。届时，安卓用户将可以使用PayPal APP在美国和澳大利亚的任何非接环境下享受简单快速的触碰支付。<<详细
　　信息和技术：
　　【廖理：互联网金融商业模式与发展格局】
　　互联网金融分成四个方面，第一个是传统金融业务的互联网化，第二是基于互联网平台开展金融业务，第三是全新的互联网金融模式，第四种是互联网金融信息服务，它本身不是金融业务，但是它是围绕互联网金融提供信息的模式。<<详细
　　安全漏洞周报：
　　上周漏洞基本情况
　　上周信息安全漏洞威胁整体评价级别为中。
　　国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞298个，其中高危漏洞99个、中危漏洞186个、低危漏洞13个。上述漏洞中，可利用来实施远程攻击的漏洞有251个。上周收录的漏洞中，已有258个漏洞由厂商提供了修补方案，建议用户及时下载补丁更新程序，避免遭受网络攻击。其中互联网上出现“LEADTOOLS ActiveX control DLL加载任意代码执行漏洞”等零日代码攻击漏洞，请使用相关产品的用户注意加强防范。
　　上周重要漏洞信息
　　1、Cisco产品安全漏洞
　　Cisco ASA是一款自适应安全设备，可提供安全和VPN服务的模块化平台，可提供防火墙、IPS、anti-X和VPN服务。Cisco Emergency Responder实时位置地址跟踪数据库和增强的路由功能可以根据呼叫者的位置，将紧急呼叫直接转移到相应的公共安全应答点(PASP)。Cisco Universal Small Cell Solution是一个端到端架构，集成了3G、LTE、电信级Wi-Fi及SON技术，实现安全有效的异构网络。CiscoIOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。Cisco Unity Connection(UC)是美国思科(Cisco)公司的一套语音留言平台。该平台可利用语音命令，以“免提”方式拨打电话或者收听留言。Cisco Unified Communications Manager是美国思科(Cisco)公司的IP Telephony解决方案的呼叫处理组件。上周，上述产品被披露存在多个安全漏洞，攻击者利用漏洞可获取敏感信息、进行跨站攻击、发起拒绝服务攻击或执行等。
　　CNVD收录的相关漏洞包括：Cisco ASA Software IKE密钥交换协议缓冲区溢出漏洞、CiscoEmergency Responder存在多个跨站脚本漏洞、Cisco Universal Small Cell设备未授权固件检索漏洞、CiscoIOS拒绝服务漏洞(CNVD-2016-01126)、Cisco Unity Connection跨站脚本漏洞(CNVD-2016-01055)、CiscoUnified Communications Manager SQL注入漏洞、Cisco Unified Communications Manager信息泄露漏洞(CNVD-2016-01056、CNVD-2016-01062)。其中，“CiscoASA Software IKE密钥交换协议缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了除“Cisco Unity Connection跨站脚本漏洞(CNVD-2016-01055)”外，其余漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。
　　2、GNU产品安全漏洞
　　GNU glibc是一款按LGPL许可协议发布的开源C语言编译程序，是Linux操作系统中C库的实现。上周，上述产品被披露存在缓冲区溢出漏洞。攻击者利用漏洞可通过构建恶意dns服务或使用中间人的方法对受害者发起攻击，对Linux终端设备构成安全威胁。
　　CNVD收录的相关漏洞包括：GNU glibc getaddrinfo()堆栈缓冲区溢出漏洞、GNU glibc栈缓冲区溢出漏洞。其中，“GNUglibc getaddrinfo()堆栈缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。
　　3、Adobe产品安全漏洞
　　Adobe Flash Player& Compiler是美国奥多比(Adobe)公司的一个集成的多媒体播放器，，短小精悍，能够在各种浏览器、操作系统和移动设备上使用。上周，上述产品被披露存在拒绝服务漏洞，攻击者利用漏洞可发起拒绝服务攻击。
　　CNVD收录的相关漏洞包括：Adobe Flash Player& Compiler拒绝服务漏洞(CNVD-2016-01047、CNVD-2016-01044、CNVD-2016-01045、CNVD-2016-01046、CNVD-2016-01049、CNVD-2016-01050、CNVD-2016-01051、CNVD-2016-01048)。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。
　　4、FFmpeg产品安全漏洞
　　FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。上周，上述产品被披露存在拒绝服务漏洞，攻击者利用漏洞可发起拒绝服务攻击。
　　CNVD收录的相关漏洞包括：FFmpeg拒绝服务漏洞(CNVD-2016-01129、CNVD-2016-01130、CNVD-2016-01131、CNVD-2016-01132)、FFmpeg 'jpeg2000_decode_tile'函数拒绝服务漏洞。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。
　　5、PHPFile Manager ‘phpfm.php’身份验证绕过漏洞
　　PHP File Manager是一套使用PHP脚本管理Web站点的应用程序。上周，PHP File Manager被披露存在身份验证绕过漏洞，攻击者可利用漏洞获取有效的会话，使用受限功能执行shell命令。目前，厂商尚未发布漏洞修补程序。在此提醒广大用户随时关注厂商主页，以获取最新版本。
　　CFCA评论：
　　上周，Cisco被披露存在多个安全漏洞，攻击者利用漏洞可获取敏感信息、进行跨站攻击和发起拒绝服务攻击等。另外，GNU、Adobe、FFmpeg等多款产品被披露存在多个安全漏洞，攻击者利用漏洞可获得敏感信息和发起拒绝服务攻击等。此外，PHP File Manager被披露存在一个高危漏洞，攻击者可利用漏洞获取有效的会话，使用受限功能执行shell命令。
　　上周，McAfee修补了Vulnerability Manager产品存在的跨站请求伪造漏洞，避免攻击者构建恶意URI，诱使用户解析，可以目标用户上下文执行恶意操作。CNVD已收录相关补丁，请广大用户及时下载更新，避免引发漏洞相关的网络安全事件。

想了解更多IT资讯，请访问中培伟业官网：中培伟业