• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    信息安全周报|《数据安全法》加速信创产业发展 车联网身份认证和安全信任试点启动

    韩希宇 来源:中国电子银行网 2021-06-18 11:04:17 信息安全周报 漏洞 金融安全
    韩希宇     来源:中国电子银行网     2021-06-18 11:04:17

    核心提示数据安全法贯彻落实总体国家安全观,聚焦数据安全领域的风险隐患,加强国家数据安全工作的统筹协调,确立了数据分类分级管理,数据安全审查,数据安全风险评估、监测预警和应急处置等基本制度。

    国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞602个,互联网上出现“BloofoxCMS跨站请求伪造漏洞、emlog路径遍历漏洞(CNVD-2021-39975)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。

    一周行业要闻速览

    《数据安全法》加速信创产业发展 企业争夺千亿规模工业软件市场

    伴随着《数据安全法》的出台,中国将逐步建立自己的IT底层架构和标准,形成自有的开放生态。>>详细

    数据安全保护法来了!CFCA助力金融机构满足监管要求 高效开展业务

    中国金融认证中心(CFCA)根据金融行业数据安全项目的实际经验,总结出了数据安全治理的“IPDR”模型,金融机构可作为参考。>>详细

    以案说险:开展“断卡”行动,合法使用账户

    银行工作人员要坚持按制度办理业务,尤其是办理开卡业务时一定要确认客户本人自愿办理卡片,且为本人使用。>>详细

    以为掌握“财富密码”?实则是诈骗圈套!

    在此,姣姣郑重提示投资者:重视监管信号,摒弃侥幸心理,保持头脑清醒,远离虚拟货币,保护财产安全!>>详细

    合法使用和保护个人账户安全四部曲

    根据监管有关规定及银行卡(账户)章程和领用协议相关条款,银行卡(账户)仅限本人用,不得出租、出售、出借银行卡(账户)。>>详细

    期待以久的它来了—FIDO生物指纹认证

    手机银行开启指纹认证后,您可直接使用指纹登录手机银行,免去输入密码,体验更佳更安全,同时转账单笔限额从20万提升至100万,满足您的大额转账需求!>>详细

    工业和信息化部办公厅关于开展车联网身份认证和安全信任试点工作的通知

    试点单位研发建立车云通信身份认证、数据加密等技术能力,实现各类车云通信场景下的身份认证、数据机密性和完整性保护,构建车云通信安全保障能力。>>详细

    中国互联网金融协会深入推动 “助力金融消费者权益保护”系列公益活动

    协会组织相关单位围绕数字化时代下规范从业机构市场行为、维护公平竞争金融市场秩序、提升公众金融素养和风险意识、增进个人金融信息保护等方面。>>详细

    安全威胁播报

    上周漏洞基本情况

    上周(2021年6月7日-13日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞602个,其中高危漏洞227个、中危漏洞317个、低危漏洞58个。漏洞平均分值为6.21。上周收录的漏洞中,涉及0day漏洞300个(占50%),其中互联网上出现“BloofoxCMS跨站请求伪造漏洞、emlog路径遍历漏洞(CNVD-2021-39975)”等零日代码攻击漏洞。

    上周重要漏洞安全告警

    Adobe产品安全漏洞

    Adobe Photoshop,简称“PS”,是由Adobe公司开发和发行的图像处理软件。Adobe After Effects(简称“AE”)是Adobe公司推出的一款图形视频处理软件,适用于从事设计和视频特技的机构,包括电视台、动画制作公司、个人后期制作工作室以及多媒体工作室。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。

    CNVD收录的相关漏洞包括:Adobe Photoshop缓冲区溢出漏洞(CNVD-2021-41059)、Adobe After Effects缓冲区溢出漏洞(CNVD-2021-41071、CNVD-2021-41070、CNVD-2021-41072)、Adobe After Effects堆缓冲区溢出漏洞(CNVD-2021-41067、CNVD-2021-41066、CNVD-2021-41069、CNVD-2021-41068)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Siemens产品安全漏洞

    Siemens Solid Edge是德国Siemens公司的一款三维CAD软件。Mendix SAML Module允许使用SAML对云应用程序中的用户进行身份验证。该模块可以与任何支持SAML2.0或Shibboleth的身份提供者进行通信。Siemens Jt2go是德国Siemens公司的一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。SIMATIC RF185C、RF186C/CI和RF188C/CI是用于将图像识别系统直接连接到PROFINET IO/以太网和OPC UA的通信模块。SIMATIC RF300R是一款紧凑型RFID读卡器。Simcenter Femap是一种高级仿真应用程序,用于创建、编辑和检查复杂产品或系统的有限元模型。Siemens SmartVNC是德国西门子(Siemens)公司的一个工控设备。提供一个访问HMI中的smartserver功能。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在当前进程的上下文中执行代码,造成拒绝服务情况。

    CNVD收录的相关漏洞包括:Siemens Solid Edge越界写入漏洞(CNVD-2021-40500)、Siemens Mendix SAML Module权限提升漏洞、Siemens JT2Go和Teamcenter Visualization越界写入漏洞(CNVD-2021-40498)、Siemens SIMATIC RFID Readers拒绝服务漏洞、Siemens Simcenter Femap越界写入漏洞(CNVD-2021-40502)、Siemens Solid Edge越界写入漏洞(CNVD-2021-40501)、Siemens Simcenter Femap越界写入漏洞、Siemens SmartVNC越界内存访问漏洞。其中,除“Siemens SmartVNC越界内存访问漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Google产品安全漏洞

    Google Android是一款以Linux为基础的开源操作系统。Chrome是由Google开发的一款Web浏览工具。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面利用堆损坏,进行特权升级。

    CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2021-41110、CNVD-2021-41113、CNVD-2021-41112、CNVD-2021-41111、CNVD-2021-41115)、Google Android输入验证错误漏洞(CNVD-2021-41116)、Google Chrome释放后重用漏洞(CNVD-2021-41140、CNVD-2021-41139)。其中,“Google Android权限提升漏洞(CNVD-2021-41110、CNVD-2021-41111)、Google Android输入验证错误漏洞(CNVD-2021-41116)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    Microsoft产品安全漏洞

    Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Paint 3D是Windows 10免费附带的创意应用程序,支持用户使用2D和3D工具创建创意项目。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在目标主机上执行代码,欺骗内容并诱导用户相信该网站的合法性,同时结合网页服务中的其他漏洞发起攻击。

    CNVD收录的相关漏洞包括:Microsoft SharePoint Server远程代码执行漏洞(CNVD-2021-41120、CNVD-C-2021-142456、CNVD-2021-41118)、Microsoft SharePoint Server欺骗漏洞(CNVD-2021-41122)、Microsoft SharePoint Server信息泄露漏洞(CNVD-2021-41121)、Microsoft Paint 3D远程代码执行漏洞(CNVD-2021-41127、CNVD-2021-41126、CNVD-2021-41125)。其中,“Google Android权限提升漏洞(CNVD-2021-41110、CNVD-2021-41111)、Google Android输入验证错误漏洞(CNVD-2021-41116)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

    D-Link DIR-868L信息泄露漏洞

    D-Link DIR-868L是一款无线AC1750双频千兆云路由器。上周,D-Link DIR-868L被披露存在信息泄露漏洞。攻击者可通过反编译固件利用该漏洞访问固件并提取敏感数据。目前,厂商尚未发布上述漏洞的修补程序。

    小结

    上周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。此外,Siemens、Google、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面利用堆损坏,进行特权升级,在当前进程的上下文中执行代码,造成拒绝服务情况等。另外,D-Link DIR-868L被披露存在信息泄露漏洞。攻击者可通过反编译固件利用该漏洞访问固件并提取敏感数据。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

    中国电子银行网综合CNVD、工业和信息化部、中国互联网金融协会、第一财经、交通银行微银行、广发银行、上银微动态、邢台银行报道

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定