國(guó)家信息安全漏洞共享平臺(tái)上周共收集�����、整理信息安全漏洞609個(gè),互聯(lián)網(wǎng)上出現(xiàn)“CHIYU BF430 TCP IP Converter跨站腳本漏洞��、nopCommerce跨站請(qǐng)求偽造漏洞”等零日代碼攻擊漏洞��,上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中���。中國(guó)電子銀行網(wǎng)為您梳理過(guò)去一周的信息安全行業(yè)要聞并告警重要漏洞����,深入探討信息安全知識(shí)���。
一周行業(yè)要聞速覽
【全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任委員 李偉】扎實(shí)開(kāi)展“領(lǐng)跑者”活動(dòng) 踐行為民利企
鼓勵(lì)金融企業(yè)主動(dòng)落實(shí)創(chuàng)新管理責(zé)任���,進(jìn)行企業(yè)標(biāo)準(zhǔn)自我聲明公開(kāi),秉持守正創(chuàng)新�、安全可控、普惠民生����、開(kāi)放共贏的發(fā)展理念。>>詳細(xì)
新版《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》發(fā)布了���!
2020年2月��,中國(guó)人民銀行下發(fā)《關(guān)于<網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范>行業(yè)標(biāo)準(zhǔn)的通知》(銀發(fā)[2020]35號(hào))����。>>詳細(xì)
銀聯(lián)支付終端安全規(guī)范3.0實(shí)施 新增刷臉支付相關(guān)要求
UPTS 3.0管轄范圍相當(dāng)廣泛����,適用于所有接入銀聯(lián)網(wǎng)絡(luò)、受理銀聯(lián)卡支付交易的終端設(shè)備�����。在基礎(chǔ)卷中主要新增了刷臉付終端的相關(guān)要求���。>>詳細(xì)
央行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》 無(wú)資質(zhì)不得收集KYC等信息
《規(guī)范》規(guī)定了個(gè)人金融信息在收集���、傳輸、存儲(chǔ)�����、使用�、刪除、銷(xiāo)毀等生命周期各環(huán)節(jié)的安全防護(hù)要求,從安全技術(shù)和安全管理兩個(gè)方面�,對(duì)個(gè)人金融信息保護(hù)提出了規(guī)范性要求。>>詳細(xì)
保安全促生產(chǎn)����!“零接觸”數(shù)字證書(shū)辦理平臺(tái)無(wú)休堅(jiān)守
數(shù)字證書(shū)在線辦理平臺(tái)是面向最終用戶,提供線上證書(shū)業(yè)務(wù)辦理的一站式互聯(lián)網(wǎng)服務(wù)平臺(tái)�����,具備業(yè)務(wù)資料填報(bào)�、信息審核,費(fèi)用支付���、發(fā)票開(kāi)具�、快遞郵寄���、進(jìn)度查詢等全流程線上服務(wù)功能��。>>詳細(xì)
工信部:做好疫情防控期間信息通信行業(yè)網(wǎng)絡(luò)安全保障工作
切實(shí)做好疫情防控和經(jīng)濟(jì)社會(huì)運(yùn)行的網(wǎng)絡(luò)安全支撐保障工作�����,確保疫情防控期間網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全�,防止發(fā)生重大網(wǎng)絡(luò)安全事件。>>詳細(xì)
一波在線操作解燃眉之急 企業(yè)防疫辦公兩不誤(二)
哪些常見(jiàn)場(chǎng)景可以輕松應(yīng)用“云辦公”模式�����?效率有了��,安全跟上來(lái)了嗎����?可不可靠��?是否合法可信��?>>詳細(xì)
發(fā)改委:積極應(yīng)對(duì)疫情創(chuàng)新做好招投標(biāo)工作保障經(jīng)濟(jì)平穩(wěn)運(yùn)行
相關(guān)單位要加快推進(jìn)CA數(shù)字證書(shū)網(wǎng)絡(luò)共享�����,運(yùn)用手機(jī)掃碼等技術(shù)實(shí)現(xiàn)免插介質(zhì)完成身份驗(yàn)證��、簽名蓋章����、加密解密等交易流程。>>詳細(xì)
【反欺詐】全民戰(zhàn)“疫”��,常見(jiàn)欺詐套路需警惕!
中國(guó)支付清算協(xié)會(huì)反欺詐實(shí)驗(yàn)室梳理了幾類常見(jiàn)的欺詐套路及其防范措施����,提醒大家注意風(fēng)險(xiǎn),謹(jǐn)防上當(dāng)受騙�。>>詳細(xì)
支付寶回應(yīng)人臉識(shí)別“被騙”:極小概率事件,升級(jí)后可防可控
雙重密碼保護(hù)機(jī)制的意思是�����,只有在輸入過(guò)支付寶登錄密碼和支付密碼的手機(jī)上����,才能使用刷臉支付。>>詳細(xì)
安全威脅播報(bào)
上周漏洞基本情況
上周(2020年2月10日-16日)信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中���。國(guó)家信息安全漏洞共享平臺(tái)(以下簡(jiǎn)稱CNVD)上周共收集�、整理信息安全漏洞609個(gè)�����,其中高危漏洞247個(gè)��、中危漏洞300個(gè)�����、低危漏洞62個(gè)。漏洞平均分值為6.34���。上周收錄的漏洞中����,涉及0day漏洞155個(gè)(占25%)��,其中互聯(lián)網(wǎng)上出現(xiàn)“CHIYU BF430 TCP IP Converter跨站腳本漏洞�、nopCommerce跨站請(qǐng)求偽造漏洞”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
Adobe產(chǎn)品安全漏洞
Adobe FrameMaker是一款頁(yè)面排版軟件��。上周����,上述產(chǎn)品被披露存在越界寫(xiě)入漏洞����,攻擊者可利用漏洞執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Adobe FrameMaker越界寫(xiě)入漏洞(CNVD-2020-08146��、CNVD-2020-08147�����、CNVD-2020-08148、CNVD-2020-08151��、CNVD-2020-08149���、CNVD-2020-08150���、CNVD-2020-08152、CNVD-2020-08153)�����。上述漏洞的綜合評(píng)級(jí)為“高?!薄D壳?��,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序����。
IBM產(chǎn)品安全漏洞
IBMDB2是一套關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)����。IBM Security DirectoryServer是一套使用了輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)的企業(yè)身份管理軟件�。IBM WebSphere Application Server Liberty是一款構(gòu)建于Open Liberty項(xiàng)目之上的Java應(yīng)用程序服務(wù)器�。IBM Planning Analytics是一套業(yè)務(wù)規(guī)劃分析解決方案。IBM Security Access Manager Appliance是一款基于網(wǎng)絡(luò)設(shè)備的安全解決方案���。IBM Security Secret Server是美國(guó)IBM公司的一套特權(quán)訪問(wèn)管理解決方案��。IBM Security IdentityManager是一套身份管理和治理解決方案�����。上周����,上述產(chǎn)品被披露存在多個(gè)漏洞���,攻擊者可利用漏洞繞過(guò)安全限制�����,獲取敏感信息,執(zhí)行任意代碼�,進(jìn)行拒絕服務(wù)攻擊等。
CNVD收錄的相關(guān)漏洞包括:IBM DB2 High PerformanceUnload load for LUW代碼問(wèn)題漏洞���、IBM Security DirectoryServer安全限制繞過(guò)漏洞�����、IBM Security DirectoryServer信息泄露漏洞(CNVD-2020-04412)�、IBM WebSphere Application Server信息泄露漏洞、IBM Planning Analytics跨站請(qǐng)求偽造漏洞�、IBM Security Access Manager Appliance XXE注入漏洞、IBM Security Secret跨站腳本漏洞��、IBM Security Identity Manager目錄遍歷漏洞(CNVD-2020-04920)����。其中,“IBM DB2 High PerformanceUnload load for LUW代碼問(wèn)題漏洞���、IBM Security DirectoryServer安全限制繞過(guò)漏洞����、IBM Planning Analytics跨站請(qǐng)求偽造漏洞�、IBM Security Access Manager Appliance XXE注入漏洞”的綜合評(píng)級(jí)為“高危”�。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。
Microsoft產(chǎn)品安全漏洞
MicrosoftWindows是一套個(gè)人設(shè)備使用的操作系統(tǒng)�����。Microsoft Windows Server是一套服務(wù)器操作系統(tǒng)��。Microsoft .NET Framework是編程模型�����,也是一個(gè)用于構(gòu)建Windows�、WindowsStore、Windows Phone����、WindowsServer和Microsoft Azure的應(yīng)用程序的開(kāi)發(fā)平臺(tái)。Microsoft Windows Remote Desktop Gateway是一款基于Windows的遠(yuǎn)程桌面網(wǎng)關(guān)���。Microsoft Edge是一款Windows 10之后版本系統(tǒng)附帶的Web瀏覽器���。ChakraCore是使用在Edge瀏覽器中的一個(gè)開(kāi)源的ChakraJavaScript腳本引擎的核心部分,也可作為單獨(dú)的JavaScript引擎使用����。上周�����,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞提升權(quán)限�,執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Microsoft Windows RemoteDesktop Gateway遠(yuǎn)程代碼執(zhí)行漏洞���、Microsoft Edge腳本引擎內(nèi)存破壞漏洞(CNVD-2020-08118)�、Microsoft Windows遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2020-08130)��、Microsoft .NET Framework遠(yuǎn)程執(zhí)行代碼漏洞(CNVD-2020-08131�、CNVD-2020-08132)、Microsoft Windows Common Log File System Driver提權(quán)漏洞�����、Microsoft Windows Media Service提權(quán)漏洞����、Microsoft ChakraCore和Edge內(nèi)存破壞漏洞(CNVD-2020-08134)。上述漏洞的綜合評(píng)級(jí)為“高?���!薄D壳埃瑥S商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序��。
Intel產(chǎn)品安全漏洞
Intel NUC Kit NUC7i5DNKE是一款迷你主機(jī)產(chǎn)品��。Intel NUC 8 Mainstream Game Kit是一款小型臺(tái)式電腦���。Intel NUC 8 Mainstream Game Mini Computer是一款小型臺(tái)式電腦���。Intel PROSet/Wireless WiFi Software是一款無(wú)線網(wǎng)卡驅(qū)動(dòng)程序。Intel Baseboard Management Controller(BMC)是一款基板管理控制器���。Intel Renesas ElectronicsUSB是USB 3 Renesas Electronics適配器的驅(qū)動(dòng)程序���,該適配器位于許多常見(jiàn)的Intel主板中。上周�����,上述產(chǎn)品被披露存在多個(gè)漏洞�����,攻擊者可利用漏洞獲取敏感信息���,提升權(quán)限�����,導(dǎo)致緩沖區(qū)溢出或堆溢出等����。
CNVD收錄的相關(guān)漏洞包括:Intel NUC訪問(wèn)控制錯(cuò)誤漏洞���、Intel NUC輸入驗(yàn)證錯(cuò)誤漏洞���、Intel NUC緩沖區(qū)限制錯(cuò)誤漏洞、Intel NUC越界寫(xiě)入漏洞�、Intel NUC整數(shù)溢出漏洞、Intel PROSet/Wireless WiFiSoftware緩沖區(qū)溢出漏洞���、Intel Baseboard ManagementController授權(quán)問(wèn)題漏洞�����、Intel Renesas ElectronicsUSB權(quán)限提漏洞��。其中����,“Intel Baseboard ManagementController授權(quán)問(wèn)題漏洞、Intel Renesas ElectronicsUSB權(quán)限提漏洞”的綜合評(píng)級(jí)為“高?���!薄D壳?���,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。
Red Hat Keycloak跨站腳本漏洞
Red Hat Keycloak是一套為現(xiàn)代應(yīng)用和服務(wù)提供身份驗(yàn)證和管理功能的軟件�。上周,Red Hat Keycloak被披露存在跨站腳本漏洞���。攻擊者可利用該漏洞執(zhí)行客戶端代碼����。目前�,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。
小結(jié)
上周�,Adobe產(chǎn)品被披露存在越界寫(xiě)入漏洞,攻擊者可利用漏洞執(zhí)行任意代碼����。此外�����,IBM���、Microsoft、Intel等多款產(chǎn)品被披露存在多個(gè)漏洞��,攻擊者可利用漏洞繞過(guò)安全限制�����,獲取敏感信息��,提升權(quán)限�,執(zhí)行任意代碼�,導(dǎo)致緩沖區(qū)溢出或堆溢出等。另外�,Red Hat Keycloak被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執(zhí)行客戶端代碼���。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁(yè)���,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案���。
中國(guó)電子銀行網(wǎng)綜合CNVD、工信部網(wǎng)站�����、發(fā)改委網(wǎng)站����、中國(guó)支付清算協(xié)會(huì)、21世紀(jì)經(jīng)濟(jì)報(bào)道����、金融電子化、移動(dòng)支付網(wǎng)報(bào)道
