CNVD收录了ImageMagick远程代码执行漏洞(CNVD-2016-02721

　　2016年，第三方支付进入了严格的整顿期，3月15日中国人民银行下发：银发[2016]77号《中国人民银行关于银行卡收单外包业务抽查情况的通报》对违规机构采取罚款、市场退出等严惩措施，对严重违规机构实施重点监管。详细

　　苹果虽然有钱，但是90%左右的钱都在海外，离岸投资或有避税考虑，滴滴已经是一家准上市公司，用苹果在中国的钱投资，一旦滴滴选择在美国上市，那么苹果之后可以直接在美国市场进行套现，这不失为一个避税途径。详细

　　由于中国在世界经济和全球金融市场中正发挥与日俱增的作用，恐怖组织的洗钱和融资活动越来越引发北京的担忧。滥用银行卡和POS机是将大量资金从内地非法转移至境外的常见渠道。银联正采取一系列措施打击此类行为。详细

　　2015年国内银行业金融机构发生的移动支付是138亿笔，金额108。22万亿元，同比分别增长 205。86%和

　　379。06%。非银行机构这两个指标也是成倍数增长，所以我们可以看到支付移动化正在加速。详细

　　市场调研公司尼尔森在今年三月的一份报告显示，中国拥有目前世界上最高的科技支付接受度。在一份涉及26个国家的一万三千份问卷中，86%的中国被调查者表示在之前的六个月中曾经使用过在线支付业务，而这份调研报告的全球平均使用率仅为43%。详细

　　2015年，我国银行卡产品和服务进一步丰富，金融IC卡在监管政策和市场驱动的双重作用下加快普及。同时，支付技术创新层出不穷，移动支付市场竞争加剧，产业相关方提前布局物联网、区块链等前沿支付领域。详细

　　国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞132个，其中高危漏洞28个、中危漏洞88个、低危漏洞16个。漏洞平均分值为5。63分。上周收录的漏洞中，涉及0day漏洞21个(占16%)。其中互联网上出现“BaumerVeriSens

　　CPE7000/WLTCS-106存在多个漏洞”等零日代码攻击漏洞，请使用相关产品的用户注意加强防范。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1330个，与之前一周(1604个)环比下降17%，但较前五周比，事件型漏洞数量仍然处于高位。根据近期监测结果，针对ApacheStruts

　　S2-032漏洞以及以往版本远程代码执行漏洞、ImageMagick远程代码执行漏洞诱发了大规模攻击和扫描尝试，互联网站面临较高的安全风险并已出现较多威胁实例。上周漏洞威胁评价为“高”。

　　近日，OpenSSL发布了安全公告，共含6项更新。其中2项更新的综合评级为“高危”。上周，CNVD收录了对应的漏洞，远程攻击者利用漏洞可导致程序崩溃，执行任意代码。

　　encoder内存破坏漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　上周，CNVD收录了ImageMagick远程代码执行漏洞(CNVD-2016-02721，对应CVE-2016-3714)。远程攻击者利用漏洞通过上传恶意构造的图像文件，可在目标服务器执行任意代码，进而获得网站服务器的控制权。由于有多种编程语言对ImageMagick提供调用支持且一些广泛应用的

　　CNVD收录的相关漏洞包括：ImageMagick远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页，以获取最新版本。

　　Service是其中的一个静默升级程序组件。上周，上述产品被披露存在多个安全漏洞，远程攻击者可利用漏洞获取敏感信息、绕过权限限制、进行跨站脚本攻击或执行任意代码等。

　　Firefox信息泄露漏洞(CNVD-2016-02763)、MozillaFirefox跨站脚本漏洞(CNVD-2016-02671)”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　kernel是美国Linux基金会发布的操作系统Linux所使用的内核。上周，上述产品被披露存在拒绝服务、权限获韧任意文件读取漏洞，允许攻击者利用漏洞获取权限、读取任意文件和发起拒绝服务攻击等。

　　kernel拒绝服务漏洞(CNVD-2016-02768)”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。在此提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

　　Office被披露存在内存破坏漏洞，允许攻击者利用该漏洞构建恶意文件，诱使用户解析，可使应用程序崩溃或执行任意代码。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布该漏洞的修补程序。在此提醒广大用户随时关注厂商主页，以获取最新版本。

　　小结：近日，OpenSSL发布了安全公告，共含6项更新。其中2项更新的综合评级为“高危”。远程攻击者利用漏洞可导致程序崩溃，执行任意代码；ImageMagick被披露存在远程代码执行漏洞，远程攻击者利用漏洞通过上传恶意构造的图像文件，可在目标服务器执行任意代码，进而获得网站服务器的控制权。此外，Mozilla、Linux等多款产品被披露存在多个安全漏洞，攻击者利用漏洞可获取权限、进行跨站脚本和发起拒绝服务攻击等。另外，WPS

　　Office被披露存在一个高危漏洞，允许攻击者利用该漏洞构建恶意文件，诱使用户解析，可使应用程序崩溃或执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补厄解决方案。