• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|金融App治理行动范围扩大 银行须重视“反逃税与反洗钱”联结性

    韩希宇 来源:中国电子银行网 2020-08-28 08:55:51 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2020-08-28 08:55:51

    核心提示金融机构在此次整治行动中,除了继续自检自查自身App之外,对于广告获客等行为也需要特别注意。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞381个,互联网上出现“vBulletin跨站脚本漏洞、vsftpd操作系统命令注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    守护个人信息安全 不能止于对银行事后问责

    个人信息保护的法律防线正在不断筑牢,将为信息安全提供强有力的保障。>>详细

    建信金科与360成立金融安全联合创新实验室

    建信金科与360正式宣布,开启金融科技创新领域全方位深度合作,深耕网络安全和金融科技等领域,共同打造“金融安全联合创新实验室”,共建金融科技创新发展“护城河”。>>详细

    “金融密码杯”2020全国密码应用和技术创新大赛启动

    密码技术是保障金融网络安全的关键,是支持金融科技创新应用的基石。>>详细

    【防赌反赌 金融守护】系列八:认清赌博危害 抵制账户买卖

    中国支付清算协会的举报投诉渠道,鼓励群众对参赌以及组织赌博人员及相关违法行为进行举报。>>详细

    金融App治理行动范围进一步扩大 自动检测平台将上线

    对于金融机构来说,工信部的App侵犯用户权益专项整治行动非常重要。从级别上来说,此次专项整治行动是目前所有行动中级别最高的;从重要程度上将,金融行业由于其特殊性,必然是重点关注对象。>>详细

    银行须重视“反逃税与反洗钱”联结性

    银行要把反逃税(反避税)和反洗钱进行联结,目的在于通过反逃税对反洗钱产生积极作用,同时也运用反洗钱机制达到更精准的反逃税目的。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(8月17日-23日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞381个,其中高危漏洞135个、中危漏洞202个、低危漏洞44个。漏洞平均分值为5.91。上周收录的漏洞中,涉及0day漏洞151个(占40%),其中互联网上出现“vBulletin跨站脚本漏洞、vsftpd操作系统命令注入漏洞”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    Google产品安全漏洞

    Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码。

    CNVD收录的相关漏洞包括:Google Android Framework权限绕过漏洞(CNVD-2020-46320、CNVD-2020-46323、CNVD-2020-46321)、Google Android MediaFramework越界读取漏洞(CNVD-2020-46322、CNVD-2020-46324)、Google Android KernelAudio组件缓冲区溢出漏洞、Google Android KernelAudio组件权限提升漏洞、Google Android MediaFramework越界写入漏洞(CNVD-2020-46325)。其中,“Google Android Kernel Audio组件缓冲区溢出漏洞、Google Android Kernel Audio组件权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Mozilla产品安全漏洞

    Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取本地文件,修改文件扩展,执行任意代码等。

    CNVD收录的相关漏洞包括:Mozilla Firefox信息泄露漏洞(CNVD-2020-46331、CNVD-2020-46338)、Mozilla Firefox输入验证错误漏洞(CNVD-2020-46333)、Mozilla Firefox代码问题漏洞(CNVD-2020-46337、CNVD-2020-46339)、Mozilla Firefox产品认证绕过漏洞、Mozilla Firefox路径遍历漏洞、Mozilla Firefox安全限制绕过漏洞(CNVD-2020-46451)。目前,厂商已经发布了上述漏洞的修补程序。

    Huawei产品安全漏洞

    HuaweiFusionCompute是中国华为(Huawei)公司的一款计算机虚拟化引擎。Huawei Mate 30是一款智能手机。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,提升权限,导致拒绝服务等。

    CNVD收录的相关漏洞包括:Huawei FusionCompute命令注入漏洞、Huawei FusionCompute设计不当漏洞、Huawei FusionCompute信息泄露漏洞(CNVD-2020-46462、CNVD-2020-46464、CNVD-2020-47548)、Huawei Mate 30拒绝服务漏洞、Huawei FusionCompute授权问题漏洞、Huawei FusionCompute本地权限提升漏洞。其中,“Huawei FusionCompute命令注入漏洞、Huawei FusionCompute设计不当漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Microsoft产品安全漏洞

    Microsoft Windows和MicrosoftWindows Server都是美国微软(Microsoft)公司的产品。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,损坏内存等。

    CNVD收录的相关漏洞包括:Microsoft Windows GraphicsComponents远程代码执行漏洞(CNVD-2020-46637)、Microsoft Windows Kernel权限提升漏洞(CNVD-2020-46636)、Microsoft Windows和Windows Server权限提升漏洞(CNVD-2020-46639、CNVD-2020-46643)、Microsoft Windows StateRepository Service权限提升漏洞(CNVD-2020-46640、CNVD-2020-46641、CNVD-2020-46642)、Microsoft Edge代码执行漏洞(CNVD-2020-46810)。其中,“Microsoft Windows Graphics Components远程代码执行漏洞(CNVD-2020-46637)、Microsoft Windows和Windows Server权限提升漏洞(CNVD-2020-46639、CNVD-2020-46643)、Microsoft Edge代码执行漏洞(CNVD-2020-46810)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Red Hat libvirt权限提升漏洞

    Red Hat libvirt是美国红帽(Red Hat)公司的一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品。上周,Red Hat libvirt被披露存在权限提升漏洞。攻击者可利用该漏洞访问libvirt并提升权限。目前,厂商尚未发布上述漏洞的修补程序。

    小结

    上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码。此外,Mozilla、Huawei、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,提升权限,执行任意代码,导致拒绝服务等。另外,Red Hat libvirt被披露存在权限提升漏洞。攻击者可利用该漏洞访问libvirt并提升权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、中国人民银行、中国支付清算协会、每日经济新闻、第一财经、移动支付网报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定