国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞352个,互联网上出现“TOTOLINK A3002R缓冲区溢出漏洞、PortlandLabs Concrete CMS SEO-Extra功能跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
中国农业银行“农情消保”数字化展厅上线了!
“农情消保”数字化展厅以“三馆二厅”为主线脉络,设置求知厅、影视厅、图书馆、文化馆、地方馆五大模块,针对老年人、青少年、新市民和特殊群体等不同的消费者,提供差异化的金融知识教育服务。>>详细
“代理退息”中介涉嫌敲诈勒索被刑拘 招行信用卡协助警方重拳打击金融“黑灰产”
以招商银行信用卡为代表的金融机构,凭借大数据监测等核心风控技术,通过与监管、公检法等部门密切合作,始终奋战在打击“黑灰产”的前线,取得了显著成效。>>详细
共筑支付安全防线 中国银联“反诈拒赌校园行”活动走进复旦大学
银联立足银行卡清算机构职能,深入践行“支付为民”理念,通过不断提升风控能力,加强警银协作和产业联防联控,努力守护老百姓的“钱袋子”,助推创建“无诈无赌”的平安校园。>>详细
“以案说险” | 防范“高息理财”骗局,勿受“保本高息”引诱
提高风险防范意识,勿信非法金融广告。对于所谓“低风险”甚至“无风险”、高收益的金融产品,要提高警惕、加强甄别。>>详细
【防骗】防范身边诈骗诱饵,小心上钩!
一张小小的银行卡,办一张不用花一分钱,借给别人还能不费吹灰之力赚钱。请不要相信这种“天上掉馅饼”的好事。>>详细
网络交易安全小课堂
由于部分中小网站安全防护能力较弱,容易遭到黑客攻击,该网站注册用户的用户名和密码便因此泄露。如网站用户设置了与银行卡账户相同的用户名和密码,则极易发生银行卡(账户)账户资金盗用。>>详细
反诈专栏 | 警惕!“数字人民币”诈骗新套路
不要进入来源不明的“数币链接”,不要在来源不明的页面中填写任何个人信息,更不要操作转账。>>详细
漫说·金融消费者八大权益
保护好自己身份证、银行卡等身份证件,谨防个人信息泄露,金融机构有责任保障金融消费者的信息安全。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年10月9日-15日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞352个,其中高危漏洞177个、中危漏洞159个、低危漏洞16个。漏洞平均分值为6.48。上周收录的漏洞中,涉及0day漏洞276个(占78%),其中互联网上出现“TOTOLINK A3002R缓冲区溢出漏洞、PortlandLabs Concrete CMS SEO-Extra功能跨站脚本漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上运行任意代码。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2023-75536、CNVD-2023-75537、CNVD-2023-75539、CNVD-2023-75540、CNVD-2023-75541、CNVD-2023-75543、CNVD-2023-75544)、Google Android代码执行漏洞(CNVD-2023-75542)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Microsoft 3D Viewer是美国微软(Microsoft)公司的一款简化且快速的图形编辑应用程序。Microsoft 3D Builder是微软公司的一款创建模型和3D打印的工具。Microsoft Azure是美国微软(Microsoft)公司的一套开放的企业级云计算平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取域管理员权限,执行任意代码。
CNVD收录的相关漏洞包括:Microsoft 3D Viewer远程代码执行漏洞(CNVD-2023-74906、CNVD-2023-74905、CNVD-2023-74904)、Microsoft 3D Builder远程代码执行漏洞(CNVD-2023-74907、CNVD-2023-74910、CNVD-2023-74909、CNVD-2023-74908)、Microsoft Azure HDInsight Apache Ambari权限提升漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Mozilla产品安全漏洞
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。Mozilla Firefox ESR是美国Mozilla基金会的Firefox(Web浏览器)的一个延长支持版本。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,使应用程序崩溃等。
CNVD收录的相关漏洞包括:Mozilla Firefox内存错误引用漏洞(CNVD-2023-75343)、Mozilla Thunderbird和Firefox拒绝服务漏洞、Mozilla Firefox ESR代码问题漏洞(CNVD-2023-75346)、Mozilla Firefox代码问题漏洞(CNVD-2023-75344)、Mozilla Firefox整数溢出漏洞(CNVD-2023-75351)、Mozilla Firefox远程代码执行漏洞、Mozilla Firefox内存破坏漏洞(CNVD-2023-75349)、Mozilla Firefox资源操作不当漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Siemens产品安全漏洞
Siemens Parasolid是一种三维几何建模工具,支持各种技术,包括实体建模、直接编辑和自由曲面/图纸建模。Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的一个工控设备。利用离散事件仿真的功能进行生产量分析和优化,进而改善制造系统性能。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码。
CNVD收录的相关漏洞包括:Siemens Parasolid堆栈缓冲区溢出漏洞、Siemens Tecnomatix Plant Simulation越界读取漏洞(CNVD-2023-75582、CNVD-2023-75581、CNVD-2023-75583、CNVD-2023-75584)、Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2023-75585、CNVD-2023-75586、CNVD-2023-75587)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Open5GS访问控制错误漏洞
Open5GS是一个5G Core和Epc的C语言开源实现,即Lte/Nr网络的核心网络。上周,Open5GS被披露存在访问控制错误漏洞。攻击者可利用该漏洞向Open5GS端点发送HTTP请求,并检索存储在设备上的信息。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上运行任意代码。此外,Microsoft、Mozilla、Siemens等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取域管理员权限,在当前进程的上下文中执行代码,使应用程序崩溃等。另外,Open5GS被披露存在访问控制错误漏洞。攻击者可利用该漏洞向Open5GS端点发送HTTP请求,并检索存储在设备上的信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、新华网、中国银联、中国农业银行、中国光大银行、浦发银行、兴业银行、恒丰银行总行、张家口银行报道
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。