• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|央行发布金融消费权益保护"秘籍" App收集个人信息自评估征求意见

    韩希宇 来源:中国电子银行网 2020-03-20 11:23:15 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2020-03-20 11:23:15

    核心提示通过公共互联网传输数据,即使您使用的是虚拟专用网络,也有被破坏或窃取的风险。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞417个,互联网上出现“ACD Systems ACDSee Photo Studio Standard缓冲区溢出漏洞、Nature Easy Soft Network Technology ZenTao跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    央行发布金融消费权益保护"秘籍" 助你炼就火眼金睛

    为更好地保护金融消费者合法权益,人民银行微信公众号推出金融消费权益保护主题系列图文知识普及,帮助金融消费者防范常见的“套路”和“陷阱”,炼就“火眼金睛”。>>详细

    常见金融消费“套路”案例集锦

    金融消费者要理性投资,不要被高收益诱惑,任何投资都是有风险的。>>详细

    关于对《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》公开征求意见的通知

    为落实《网络安全法》相关要求,围绕中央网信办、工信部、公安部、市场监管总局联合制定的《App违法违规收集使用个人信息行为认定方法》。>>详细

    蜻蜓、青蛙、蓝鲸,谁家的刷脸支付最安全?

    支付宝、微信支付、中国银联纷纷推出自己的线下刷脸支付产品,刷脸支付这一新兴支付市场形成了三足鼎立之势。>>详细

    多角度全方位护航证券行业

    国内各大证券机构亦纷纷推出了终端应用,以获取更多证券客户,在线上电子渠道的推广过程中,安全合规是两个重要的关注点。>>详细

    边缘计算会让物联网更安全吗?

    与试图保护设备本身相比,保护设备所运行的网络通常是一种更高效、更有效和更经济的方式,可以为物联网部署增添安全性。>>详细

    迈向行政规制的个人信息保护:GDPR与CCPA处罚制度比较

    只有针对这几类特定信息,企业违反相关网络安全管理要求,在未加密状态下予以泄露后,私人才有资格提起民事诉讼。>>详细

    安全威胁播报

    上周漏洞基本情况 

    上周(3月9日-15日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞417个,其中高危漏洞138个、中危漏洞220个、低危漏洞59个。漏洞平均分值为6.12。上周收录的漏洞中,涉及0day漏洞114个(占27%),其中互联网上出现“ACD Systems ACDSee Photo Studio Standard缓冲区溢出漏洞、Nature Easy Soft Network Technology ZenTao跨站脚本漏洞”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    Microsoft产品安全漏洞

    Microsoft Windows Remote Desktop Gateway是一款基于Windows的远程桌面网关。Microsoft ASP.NET Core是一框跨平台开源框架。Microsoft Remote Desktop Client是一款远程桌面客户端。Microsoft Word是一套Office套件中的文字处理软件。Microsoft DynamicsBusiness Central是一套企业资源计划系统。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

    CNVD收录的相关漏洞包括:Microsoft Windows RemoteDesktop Gateway远程代码执行漏洞漏洞、Microsoft ASP.NET Core远程代码执行漏洞、Microsoft Windows SMBv3远程代码执行漏洞、Microsoft LNK远程代码执行漏洞、Microsoft Windows Remote Desktop Client远程代码执行漏洞(CNVD-2020-16712)、Microsoft Windows Graphics Device Interface远程代码执行漏洞、Microsoft Word远程代码执行漏洞(CNVD-2020-17174)、Microsoft DynamicsBusiness Central远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Cisco产品安全漏洞

    CiscoIntegrated Management Controller(IMC)是一套用于对UCS(统一计算系统)进行管理的软件。Cisco WebEx NetworkRecording Player是用于回放在在线会议参加者的计算机上记录的WebEx会议记录的应用程序。Cisco Webex Player是Cisco的用于播放视频会议记录的播放器。Cisco Nexus 9000 Series Fabric Switches是一款9000系列光纤交换机。Cisco Smart SoftwareManager On-Prem是一款用于Cisco产品许可证管理的组件。Cisco IOS XR Software是美国思科(Cisco)公司的IOS软件系列(包括IOS T、IOS S和IOS XR)中的一套完全模块化、分布式的网络操作系统。Cisco Firepower ThreatDefense(FTD)是一套提供下一代防火墙服务的统一软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码或造成拒绝服务等。

    CNVD收录的相关漏洞包括:Cisco IntegratedManagement Controller权限提升漏洞、Cisco Webex NetworkRecording Player和Cisco Webex Player缓冲区溢出漏洞(CNVD-2020-16482、CNVD-2020-16484)、Cisco Nexus 9000 Series Fabric Switches缓冲区溢出漏洞、Cisco Smart Software Manager On-Prem信任管理漏洞、Cisco IOS XR Software中CiscoDiscovery协议格式字符串漏洞、Cisco NX-OS Software中Cisco Discovery协议远程代码执行漏洞、Cisco Firepower ThreatDefense访问控制错误漏洞。其中,除“Cisco Firepower ThreatDefense访问控制错误漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Google产品安全漏洞

    Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行代码。

    CNVD收录的相关漏洞包括:Google Android MediaFramework代码执行漏洞(CNVD-2020-16074)、Google Android Framework竞争条件问题漏洞、Google Android System越界读取漏洞、Google Android System信息泄露漏洞(CNVD-2020-17105、CNVD-2020-17107、CNVD-2020-17111、CNVD-2020-17113、CNVD-2020-17114)。其中,除“Google Android System信息泄露漏洞(CNVD-2020-17107、CNVD-2020-17113、CNVD-2020-17114)” 外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Qualcomm产品安全漏洞

    Qualcomm MDM9206、MDM9607、MDM9640、MDM9650、MDM9607、MSM8996AU、QCA6574AU等都是一款中央处理器(CPU)产品。SDX24是一款调制解调器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取受影响组件敏感信息,导致缓冲区溢出或堆溢出等。

    CNVD收录的相关漏洞包括:多款Qualcomm产品信息泄露漏洞(CNVD-2020-16056)、多款Qualcomm产品GSNDCP Module缓冲区溢出漏洞、多款Qualcomm产品WLAN组件缓冲区溢出漏洞、多款Qualcomm产品缓冲区溢出漏洞(CNVD-2020-16052、CNVD-2020-16064、CNVD-2020-16068、CNVD-2020-16070、CNVD-2020-16071)。其中,除“多款Qualcomm产品缓冲区溢出漏洞(CNVD-2020-16064)、多款Qualcomm产品WLAN组件缓冲区溢出漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    BWA DiREX-Pro远程代码执行漏洞

    BWA Technology DiREX-Pro是一款网络视频录像机。上周,BWA Technology DiREX-Pro被披露存在远程代码执行漏洞。远程攻击者可通过向uninstall.php3文件发送带有shell元字符的‘PKG’参数利用该漏洞执行任意的操作系统命令。目前,厂商尚未发布上述漏洞的修补程序。

    小结

    上周,Microsoft产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。此外,Cisco、Google、Qualcomm等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码,导致缓冲区溢出或堆溢出等。另外,BWA DiREX-Pro被披露存在远程代码执行漏洞。远程攻击者可通过向uninstall.php3文件发送带有shell元字符的‘PKG’参数利用该漏洞执行任意的操作系统命令。

    中国电子银行网综合CNVD、央行、信安标委、中国信用卡、腾讯研究院、51CTO报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定