• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|征信新规明晰数据采集边界 移动支付用户最担心信息泄露

    韩希宇 来源:中国电子银行网 2021-01-15 09:33:36 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2021-01-15 09:33:36

    核心提示移动支付的创新和改进集中在两个方面:使用的便捷性和安全性。便捷性方面,应加快发展互联互通等支付基础设施的建设,同时改进支付的验证方式、支付介质等,让移动支付具有更广泛的普适性和更好的用户体验。安全性方面,推进用户的个人信息保护、支付标记化等技术。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞295个,互联网上出现“OpenCart跨站脚本漏洞(CNVD-2020-75516)、IncomCMS文件上传漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    中国支付清算协会:安全隐患依旧是移动支付用户担心的首要问题

    当前在监管和业界的努力下,移动支付在隐私保护已经取得了长足的进步。但在数据的保护、数据收集最小化、数据使用、数据的安全保存等方面仍然有待加强。>>详细

    个人信息过度采集有望改观,央行新规明晰征信边界

    采集信息遵循“最少、必要”原则,征信业务管理办法即将面世。>>详细

    银行不良资产处置新政落地:个人不良批量转让试水 防止贷款人信息泄露

    鉴于民法典的颁行和以及个人信息保护法正在制定,对于批量收购个人贷款的资产管理公司,不仅应承担原合同约定的信息使用义务,还要依法采取必要保护措施,坚决防止发生个人信息泄露和非法使用的情形。>>详细

    如何防止银行卡被盗刷

    近期,四川省反诈骗中心揭露了“一元洗车”背后的盗刷陷阱。>>详细

    安全课堂 | 防范电信网络诈骗小故事

    世上没有免费的午餐,对于犯罪分子实施的中奖诈骗、虚假办理高息贷款或信用卡套现诈骗及虚假致富信息转让诈骗,不要轻信,一定要多了解和分析,以免上当受骗。>>详细

    安哥乐乐学消保|四看三思等一夜 远离非法集资要牢记

    不要轻易相信所谓的高息“保险”、高息“理财”,高收益意味着高风险。>>详细

    【防骗指南】这样的套路要当心!

    套路千万条,防骗第一条。诈骗套路日益升级,让人防不胜防,以下常见诈骗套路大家一定要小心!>>详细

    扩散!网贷诈骗又出新花样,千万别上当!

    近期陆续收到客户反映,有虚假贷款、派发红包、提供备用金等所谓的“农商银行”短信或不明链接,诱导短信回复、点击链接,后续向客户索要手续费……>>详细

    原来这些都是常见的洗钱方式!

    洗钱是金融行业最常见和严重的金融犯罪之一,具有隐蔽性强,方式多样和过程复杂的特点。其不仅破坏经济活动的公平公正原则,破坏市场经济有序竞争,损害金融机构的声誉和正常运行。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(2021年1月4日-10日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞268,其中高危漏洞90个、中危漏洞140个、低危漏洞38个。漏洞平均分值为5.74。上周收录的漏洞中,涉及0day漏洞136个(占51%),其中互联网上出现“Egavilan Media UnderOnstruction Page With Cpanel SQL注入漏洞、Online Marriage Registration System SQL注入漏洞”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    Google产品安全漏洞

    Google Android是美国谷歌(Google)和开放手持设备联盟(简称oha)的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致所需的系统执行特权在本地升级,导致特权的本地升级,而无需其他执行特权等。

    CNVD收录的相关漏洞包括:Google Android Pixel本地权限提升漏洞(CNVD-2021-01333、CNVD-2021-01334、CNVD-2021-01335)、Google Android本地权限提升漏洞(CNVD-2021-01336)、Google Android拒绝服务漏洞(CNVD-2021-01328、CNVD-2021-01332)、Google Android权限提升漏洞(CNVD-2021-01329、CNVD-2021-01339)。目前,厂商已经发布了上述漏洞的修补程序。

    Microsoft产品安全漏洞

    Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows Server是一套服务器操作系统。Windows COM是美国Microsoft公司的一套软件组件的二进制接口标准。该组件使得能够与Windows服务进行实时交互。Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Exchange Server是Microsoft开发的邮件服务器和日历服务器。Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。DirectX是其中的一个多媒体系统链接库。Microsoft Visual Studio是一个集成的开发环境,用于开发计算机程序、网站、Web应用程序、Web服务和移动应用程序。Windows Graphics Device Interface是美国Microsoft公司的一个图形设备接口函数。该函数负责系统与绘图程序之间的信息交换,处理所有Windows程序的图形输出。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在目标系统上执行任意代码,控制受影响的系统,可以安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户等。

    CNVD收录的相关漏洞包括:Microsoft COM for Windows远程代码执行漏洞(CNVD-2021-01045)、Microsoft Excel远程代码执行漏洞(CNVD-2021-01037)、Microsoft Exchange Server远程代码执行漏洞(CNVD-2021-01044)、Microsoft MicrosoftWindows Codecs Library远程代码执行漏洞(CNVD-2021-01042、CNVD-2021-01043)、Microsoft Visual Studio远程代码执行漏洞(CNVD-2021-01041)、Microsoft Windows Graphics Device Interface (GDI)远程代码执行漏洞、Microsoft Windows Storage Services权限提升漏洞。其中,“Microsoft Visual Studio远程代码执行漏洞(CNVD-2021-01041)、Microsoft Microsoft Windows Codecs Library远程代码执行漏洞、Microsoft Exchange Server远程代码执行漏洞(CNVD-2021-01044)、Microsoft COM for Windows远程代码执行漏洞(CNVD-2021-01045)、Microsoft Windows GraphicsDevice Interface (GDI)远程代码执行漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    IBM产品安全漏洞

    IBMAPI Connect(APIConnect)是美国IBM公司的一套用于管理API生命周期的集成解决方案。该产品支持创建、运行、管理和保护API和微服务等。IBM Cloud Pak System是美国IBM公司的一套具有可配置、预集成软件的全栈、融合基础架构。IBM Curam Social ProgramManagement是美国IBM公司的一套社会计划管理解决方案,支持端到端社会项目交付流程。IBM Maximo AssetManagement是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。IBM Spectrum Protect Plus是一套数据保护平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过纯文本传输绕过对数据的访问限制,以获取敏感信息,执行从网站信任的用户传输的恶意和未经授权的操作,在服务器上执行任意代码等。

    CNVD收录的相关漏洞包括:IBM API Connect访问控制错误漏洞(CNVD-2021-01274)、IBM Cloud Pak System会话固定漏洞、IBM Cloud Pak System跨站请求伪造漏洞(CNVD-2021-01065)、IBM Cloud Pak System权限提升漏洞、IBM Cloud Pak System任意文件上传漏洞(CNVD-2021-01067)、IBM Curam Social ProgramManagement跨站请求伪造漏洞(CNVD-2021-01275)、IBM Maximo Asset Management跨站请求伪造漏洞(CNVD-2021-01278)、IBM Spectrum Protect Plus目录遍历漏洞。其中,“IBM API Connect访问控制错误漏洞(CNVD-2021-01274)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Oracle产品安全漏洞

    Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Oracle MySQL Cluster是美国甲骨文(Oracle)公司的MySQL的适合于分布式计算环境的高实用、高冗余版本。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过Oracle Net拥有资源、创建表、创建视图、创建过程、Dbfs角色和网络访问权限,从而破坏数据库文件系统,拥有本地登录特权,登录到调度程序执行的基础设施,从而危及调度程序,导致Scheduler被接管,插入或删除对某些MySQL Cluster可访问数据的访问,以及未经授权的功能,从而导致MySQL Cluster的部分拒绝服务(部分DOS)等。

    CNVD收录的相关漏洞包括:Oracle Application ExpressData Reporter component权限获取漏洞、Oracle Database ServerDatabase Filesystem component未授权访问漏洞、Oracle Database ServerExpress Quick Poll component权限获取漏洞、Oracle Database ServerOracle Application Express component未授权访问漏洞、Oracle Database Server Oracle Text component未授权访问漏洞、Oracle Database Server Scheduler component未授权访问漏洞、Oracle Database Server信息泄露漏洞、Oracle MySQL Cluster Cluster NDBCluster Plugin拒绝服务漏洞。其中,“Oracle Database Server Scheduler component未授权访问漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    SolarWinds Web Help Desk跨站脚本漏洞(CNVD-2021-01529)

    SolarWinds Web Help Desk是一款基于Web的帮助台工单和IT资产管理软件。SolarWinds Web Help Desk 12.7.0存在跨站脚本漏洞。攻击者可通过带有特制Location Name字段的CSV模板文件利用该漏洞进行跨站脚本攻击。目前,厂商尚未发布上述漏洞的修补程序。

    小结

    上周,Google产品被披露存在多个漏洞,攻击者可利用导致所需的系统执行特权在本地升级,导致特权的本地升级,而无需其他执行特权等。此外,Microsoft、IBM、Oracle等多款产品被披露存在多个漏洞,攻击者可利用在目标系统上执行任意代码,控制受影响的系统,通过Oracle Net拥有资源、创建表、创建视图、创建过程、Dbfs角色和网络访问权限,从而破坏数据库文件系统等。另外,SolarWinds Web Help Desk被披露存在跨站脚本漏洞。攻击者可通过带有特制Location Name字段的CSV模板文件利用该漏洞进行跨站脚本攻击。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、21世纪经济报道、第一财经、证券日报、恒丰银行、哈尔滨银行、内蒙古银行、江西农商银行、重庆银行微银行、连赢管家报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定