国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞169个,互联网上出现“iCMS跨站请求伪造漏洞(CNVD-2020-54957)、WordPress跨站脚本漏洞(CNVD-2020-54948)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。金融科技时代网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
《金融数据安全 数据安全分级指南》金融行业标准正式发布
标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则供实践参考,适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。>>详细
国家互联网信息办公室关于《互联网用户公众账号信息服务管理规定(修订草案征求意见稿)》公开征求意见的通知
用户不提供真实身份信息的,或冒用组织机构、他人真实身份信息进行虚假注册的,不得为其提供相关服务。>>详细
个人信息保护法草案提请审议 互联网商业模式迎考
上网痕迹被平台收集分析推送广告、网站制定“霸王条款”随意变更VIP会员规则、公民的身份证号、个人行踪等被泄露倒卖……>>详细
用户向你抛出一个硬需求:贵行手机银行能单笔转账上百万吗?
兰州银行与中国金融认证中心(CFCA)达成合作,在个人手机银行APP上线手机盾大额转账功能,将个人单日单笔转账限额提高到300万元。>>详细
预防打击金融犯罪,各地出台银保机构涉刑案件管理细则
压实银行保险机构主体责任,“依法从严、过罚相当”。>>详细
别对你的银行卡做这事!否则网银、支付宝、微信支付都可能废掉
贩卖银行卡可是大事!一不小心你就成为了犯罪分子的帮凶……>>详细
公安部:部署“断卡”行动,严打整治非法开办贩卖银行卡
严厉打击整治非法开办贩卖电话卡、银行卡违法犯罪,坚决遏制电信网络诈骗犯罪高发态势,切实维护社会治安大局稳定。>>详细
评论丨树立个人信息保护的法治里程碑
个人信息保护对保护公众的切身利益、国家信息安全和国家利益都有重大意义。>>详细
安全威胁播报
上周漏洞基本情况
上周(9月28日-10月11日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞169个,其中高危漏洞44个、中危漏洞111个、低危漏洞14个。漏洞平均分值为5.63。上周收录的漏洞中,涉及0day漏洞42个(占25%),其中互联网上出现“iCMS跨站请求伪造漏洞(CNVD-2020-54957)、WordPress跨站脚本漏洞(CNVD-2020-54948)”等零日代码攻击漏洞。
上周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows InstallService是美国Microsoft公司的一个windows操作系统的服务。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞以提升的权限执行代码,导致目标系统停止响应。
CNVD收录的相关漏洞包括:Microsoft Windows权限提升漏洞(CNVD-2020-54910、CNVD-2020-54907、CNVD-2020-54913)、Microsoft Windows RoutingUtilities拒绝服务漏洞、Microsoft Windows RSoP权限提升漏洞、Microsoft Windows Language Pack Installer权限提升漏洞、Microsoft Windows Modules Installer权限提升漏洞(CNVD-2020-54911)、Microsoft WindowsInstallService权限提升漏洞。其中,“Microsoft Windows权限提升漏洞(CNVD-2020-54913)、Microsoft Windows ModulesInstaller权限提升漏洞(CNVD-2020-54911)、Microsoft Windows权限提升漏洞(CNVD-2020-54910)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBM InfoSphere Information Server是一个数据集成平台。IBM Spectrum Protect(前称Tivoli Storage Manager)是美国IBM公司的一套数据保护平台。IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台。IBM Security Secret Server是美国IBM公司的一套特权访问管理解决方案。IBM Business ProcessManager是一套综合的业务流程管理平台。IBM Trusteer Pinpoint是美国国际商业机器公司(IBM)的一款信息安全保障软件可以检测交易中对方的真实性和交易的风险等级。IBM OpenPages GRC Platform是美国IBM公司的一套用于管理企业风险和合规性的平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞劫持受害者的点击动作,执行任意代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:IBM InfoSphere InformationServer点击劫持漏洞、IBM Spectrum Protect代码执行漏洞(CNVD-2020-54678)、IBM DataPower Gateway拒绝服务漏洞(CNVD-2020-54934)、IBM Security Secret Server安全绕过漏洞、IBM Security Secret Server输入验证错误漏洞、IBM Business Process Manager (Advanced) 和 IBM Business Automation Workflow信息泄露漏洞、IBM Trusteer Pinpoint信息泄露漏洞、IBM OpenPages跨站脚本漏洞。其中,“IBM Spectrum Protect代码执行漏洞(CNVD-2020-54678)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞造成数据泄露,导致本地特权提升,造成缓存区溢出等。
CNVD收录的相关漏洞包括:Google Android缓冲区溢出漏洞(CNVD-2020-54471、CNVD-2020-54466)、Google TensorFlow输入验证错误漏洞(CNVD-2020-54472、CNVD-2020-54474)、Google AndroidMediaProvider权限控制漏洞、Google AndroidWindowManager提权漏洞、Google TensorFlow缓冲区溢出漏洞(CNVD-2020-54782)、Google TensorFlow代码问题漏洞(CNVD-2020-54781)。其中,“Google Android缓冲区溢出漏洞(CNVD-2020-54471)、Google TensorFlow输入验证错误漏洞(CNVD-2020-54472、CNVD-2020-54474)、Google AndroidMediaProvider权限控制漏洞、Google AndroidWindowManager提权漏洞、Google TensorFlow缓冲区溢出漏洞(CNVD-2020-54782)、Google TensorFlow代码问题漏洞(CNVD-2020-54781)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Artifex Software产品安全漏洞
Artifex Ghostscript是美国Artifex Software公司的一款开源的PostScript(一种用于电子产业和桌面出版领域的页面描述语言和编程语言)解析器。Artifex Software MuPDF是美国Artifex Software公司的一款免费的、轻量级的PDF阅读器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致缓冲区溢出或堆溢出,造成解释器崩溃,执行代码等。
CNVD收录的相关漏洞包括:Artifex Ghostscript代码执行漏洞、Artifex Software MuPDF代码问题漏洞、Artifex Ghostscript拒绝服务漏洞(CNVD-2020-54478、CNVD-2020-54476、CNVD-2020-54475)、Artifex Ghostscript类型混淆漏洞(CNVD-2020-54479)、Artifex Software MuPDF缓冲区溢出漏洞(CNVD-2020-54480)、Artifex MuPDF无限循环漏洞。其中“Artifex Ghostscript代码执行漏洞、Artifex Software MuPDF代码问题漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Artifex MuPDF缓冲区溢出漏洞
Artifex MuPDF是美国Artifex Software公司的一款免费的、轻量级的PDF阅读器。上周,Artifex MuPDF被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞对可用性造成影响。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Microsoft、IBM、Google、Artifex Software等多款产品被披露存在多个漏洞,攻击者可利用漏洞导致本地特权提升,造成缓存区溢出,执行代码,发起拒绝服务攻击等。另外,Artifex MuPDF被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞对可用性造成影响。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
金融科技时代网综合CNVD、全国金融标准化技术委员会、网信中国、21世纪经济报道、第一财经、中国证券报、移动支付网报道