國家信息安全漏洞共享平臺上周共收集�����、整理信息安全漏洞609個,互聯(lián)網(wǎng)上出現(xiàn)“CHIYU BF430 TCP IP Converter跨站腳本漏洞���、nopCommerce跨站請求偽造漏洞”等零日代碼攻擊漏洞�����,上周信息安全漏洞威脅整體評價級別為中�����。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞�����,深入探討信息安全知識��。
一周行業(yè)要聞速覽
【全國金融標(biāo)準(zhǔn)化技術(shù)委員會副主任委員 李偉】扎實開展“領(lǐng)跑者”活動 踐行為民利企
鼓勵金融企業(yè)主動落實創(chuàng)新管理責(zé)任��,進(jìn)行企業(yè)標(biāo)準(zhǔn)自我聲明公開����,秉持守正創(chuàng)新、安全可控�����、普惠民生����、開放共贏的發(fā)展理念。>>詳細(xì)
新版《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》發(fā)布了��!
2020年2月�����,中國人民銀行下發(fā)《關(guān)于<網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范>行業(yè)標(biāo)準(zhǔn)的通知》(銀發(fā)[2020]35號)。>>詳細(xì)
銀聯(lián)支付終端安全規(guī)范3.0實施 新增刷臉支付相關(guān)要求
UPTS 3.0管轄范圍相當(dāng)廣泛�����,適用于所有接入銀聯(lián)網(wǎng)絡(luò)�����、受理銀聯(lián)卡支付交易的終端設(shè)備����。在基礎(chǔ)卷中主要新增了刷臉付終端的相關(guān)要求。>>詳細(xì)
央行發(fā)布《個人金融信息保護(hù)技術(shù)規(guī)范》 無資質(zhì)不得收集KYC等信息
《規(guī)范》規(guī)定了個人金融信息在收集����、傳輸、存儲���、使用、刪除��、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求���,從安全技術(shù)和安全管理兩個方面�,對個人金融信息保護(hù)提出了規(guī)范性要求。>>詳細(xì)
保安全促生產(chǎn)���!“零接觸”數(shù)字證書辦理平臺無休堅守
數(shù)字證書在線辦理平臺是面向最終用戶����,提供線上證書業(yè)務(wù)辦理的一站式互聯(lián)網(wǎng)服務(wù)平臺����,具備業(yè)務(wù)資料填報、信息審核��,費用支付�����、發(fā)票開具�����、快遞郵寄��、進(jìn)度查詢等全流程線上服務(wù)功能。>>詳細(xì)
工信部:做好疫情防控期間信息通信行業(yè)網(wǎng)絡(luò)安全保障工作
切實做好疫情防控和經(jīng)濟(jì)社會運行的網(wǎng)絡(luò)安全支撐保障工作��,確保疫情防控期間網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全�,防止發(fā)生重大網(wǎng)絡(luò)安全事件。>>詳細(xì)
一波在線操作解燃眉之急 企業(yè)防疫辦公兩不誤(二)
哪些常見場景可以輕松應(yīng)用“云辦公”模式�?效率有了,安全跟上來了嗎�?可不可靠?是否合法可信��?>>詳細(xì)
發(fā)改委:積極應(yīng)對疫情創(chuàng)新做好招投標(biāo)工作保障經(jīng)濟(jì)平穩(wěn)運行
相關(guān)單位要加快推進(jìn)CA數(shù)字證書網(wǎng)絡(luò)共享�����,運用手機(jī)掃碼等技術(shù)實現(xiàn)免插介質(zhì)完成身份驗證���、簽名蓋章�、加密解密等交易流程����。>>詳細(xì)
【反欺詐】全民戰(zhàn)“疫”,常見欺詐套路需警惕���!
中國支付清算協(xié)會反欺詐實驗室梳理了幾類常見的欺詐套路及其防范措施,提醒大家注意風(fēng)險,謹(jǐn)防上當(dāng)受騙�����。>>詳細(xì)
支付寶回應(yīng)人臉識別“被騙”:極小概率事件���,升級后可防可控
雙重密碼保護(hù)機(jī)制的意思是���,只有在輸入過支付寶登錄密碼和支付密碼的手機(jī)上,才能使用刷臉支付��。>>詳細(xì)
安全威脅播報
上周漏洞基本情況
上周(2020年2月10日-16日)信息安全漏洞威脅整體評價級別為中��。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集�、整理信息安全漏洞609個,其中高危漏洞247個�����、中危漏洞300個���、低危漏洞62個�����。漏洞平均分值為6.34�。上周收錄的漏洞中,涉及0day漏洞155個(占25%)�,其中互聯(lián)網(wǎng)上出現(xiàn)“CHIYU BF430 TCP IP Converter跨站腳本漏洞、nopCommerce跨站請求偽造漏洞”等零日代碼攻擊漏洞���。
上周重要漏洞安全告警
Adobe產(chǎn)品安全漏洞
Adobe FrameMaker是一款頁面排版軟件��。上周����,上述產(chǎn)品被披露存在越界寫入漏洞�,攻擊者可利用漏洞執(zhí)行任意代碼。
CNVD收錄的相關(guān)漏洞包括:Adobe FrameMaker越界寫入漏洞(CNVD-2020-08146�����、CNVD-2020-08147�����、CNVD-2020-08148�、CNVD-2020-08151、CNVD-2020-08149�、CNVD-2020-08150���、CNVD-2020-08152�����、CNVD-2020-08153)�����。上述漏洞的綜合評級為“高?����!?�。目前�,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。
IBM產(chǎn)品安全漏洞
IBMDB2是一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)��。IBM Security DirectoryServer是一套使用了輕量級目錄訪問協(xié)議(LDAP)的企業(yè)身份管理軟件���。IBM WebSphere Application Server Liberty是一款構(gòu)建于Open Liberty項目之上的Java應(yīng)用程序服務(wù)器�。IBM Planning Analytics是一套業(yè)務(wù)規(guī)劃分析解決方案�����。IBM Security Access Manager Appliance是一款基于網(wǎng)絡(luò)設(shè)備的安全解決方案。IBM Security Secret Server是美國IBM公司的一套特權(quán)訪問管理解決方案��。IBM Security IdentityManager是一套身份管理和治理解決方案��。上周�,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞繞過安全限制�����,獲取敏感信息��,執(zhí)行任意代碼����,進(jìn)行拒絕服務(wù)攻擊等。
CNVD收錄的相關(guān)漏洞包括:IBM DB2 High PerformanceUnload load for LUW代碼問題漏洞����、IBM Security DirectoryServer安全限制繞過漏洞、IBM Security DirectoryServer信息泄露漏洞(CNVD-2020-04412)��、IBM WebSphere Application Server信息泄露漏洞��、IBM Planning Analytics跨站請求偽造漏洞、IBM Security Access Manager Appliance XXE注入漏洞�、IBM Security Secret跨站腳本漏洞、IBM Security Identity Manager目錄遍歷漏洞(CNVD-2020-04920)����。其中,“IBM DB2 High PerformanceUnload load for LUW代碼問題漏洞�����、IBM Security DirectoryServer安全限制繞過漏洞���、IBM Planning Analytics跨站請求偽造漏洞、IBM Security Access Manager Appliance XXE注入漏洞”的綜合評級為“高?���!薄D壳?����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序���。
Microsoft產(chǎn)品安全漏洞
MicrosoftWindows是一套個人設(shè)備使用的操作系統(tǒng)����。Microsoft Windows Server是一套服務(wù)器操作系統(tǒng)。Microsoft .NET Framework是編程模型��,也是一個用于構(gòu)建Windows�����、WindowsStore����、Windows Phone、WindowsServer和Microsoft Azure的應(yīng)用程序的開發(fā)平臺�����。Microsoft Windows Remote Desktop Gateway是一款基于Windows的遠(yuǎn)程桌面網(wǎng)關(guān)�。Microsoft Edge是一款Windows 10之后版本系統(tǒng)附帶的Web瀏覽器。ChakraCore是使用在Edge瀏覽器中的一個開源的ChakraJavaScript腳本引擎的核心部分���,也可作為單獨的JavaScript引擎使用���。上周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞提升權(quán)限�����,執(zhí)行任意代碼���。
CNVD收錄的相關(guān)漏洞包括:Microsoft Windows RemoteDesktop Gateway遠(yuǎn)程代碼執(zhí)行漏洞�、Microsoft Edge腳本引擎內(nèi)存破壞漏洞(CNVD-2020-08118)��、Microsoft Windows遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2020-08130)����、Microsoft .NET Framework遠(yuǎn)程執(zhí)行代碼漏洞(CNVD-2020-08131�、CNVD-2020-08132)、Microsoft Windows Common Log File System Driver提權(quán)漏洞���、Microsoft Windows Media Service提權(quán)漏洞��、Microsoft ChakraCore和Edge內(nèi)存破壞漏洞(CNVD-2020-08134)��。上述漏洞的綜合評級為“高?����!?�。目前����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。
Intel產(chǎn)品安全漏洞
Intel NUC Kit NUC7i5DNKE是一款迷你主機(jī)產(chǎn)品����。Intel NUC 8 Mainstream Game Kit是一款小型臺式電腦。Intel NUC 8 Mainstream Game Mini Computer是一款小型臺式電腦�����。Intel PROSet/Wireless WiFi Software是一款無線網(wǎng)卡驅(qū)動程序���。Intel Baseboard Management Controller(BMC)是一款基板管理控制器���。Intel Renesas ElectronicsUSB是USB 3 Renesas Electronics適配器的驅(qū)動程序,該適配器位于許多常見的Intel主板中�����。上周�����,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息�,提升權(quán)限,導(dǎo)致緩沖區(qū)溢出或堆溢出等�����。
CNVD收錄的相關(guān)漏洞包括:Intel NUC訪問控制錯誤漏洞�����、Intel NUC輸入驗證錯誤漏洞�����、Intel NUC緩沖區(qū)限制錯誤漏洞��、Intel NUC越界寫入漏洞���、Intel NUC整數(shù)溢出漏洞、Intel PROSet/Wireless WiFiSoftware緩沖區(qū)溢出漏洞����、Intel Baseboard ManagementController授權(quán)問題漏洞、Intel Renesas ElectronicsUSB權(quán)限提漏洞。其中�����,“Intel Baseboard ManagementController授權(quán)問題漏洞����、Intel Renesas ElectronicsUSB權(quán)限提漏洞”的綜合評級為“高危”��。目前���,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序���。
Red Hat Keycloak跨站腳本漏洞
Red Hat Keycloak是一套為現(xiàn)代應(yīng)用和服務(wù)提供身份驗證和管理功能的軟件。上周����,Red Hat Keycloak被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執(zhí)行客戶端代碼����。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序���。
小結(jié)
上周�����,Adobe產(chǎn)品被披露存在越界寫入漏洞���,攻擊者可利用漏洞執(zhí)行任意代碼���。此外,IBM��、Microsoft���、Intel等多款產(chǎn)品被披露存在多個漏洞�����,攻擊者可利用漏洞繞過安全限制���,獲取敏感信息���,提升權(quán)限�����,執(zhí)行任意代碼��,導(dǎo)致緩沖區(qū)溢出或堆溢出等�����。另外���,Red Hat Keycloak被披露存在跨站腳本漏洞���。攻擊者可利用該漏洞執(zhí)行客戶端代碼。建議相關(guān)用戶隨時關(guān)注上述廠商主頁����,及時獲取修復(fù)補(bǔ)丁或解決方案。
中國電子銀行網(wǎng)綜合CNVD����、工信部網(wǎng)站、發(fā)改委網(wǎng)站��、中國支付清算協(xié)會�、21世紀(jì)經(jīng)濟(jì)報道����、金融電子化����、移動支付網(wǎng)報道
