國家信息安全漏洞共享平臺上周共收集�、整理信息安全漏洞229個�,互聯(lián)網(wǎng)上出現(xiàn)“Lead Management System SQL注入漏洞(CNVD-2023-05741)、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞�,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞�����,深入探討信息安全知識��。
(資料圖片)
一周行業(yè)要聞速覽
【防詐騙】警惕��!有人在電話或網(wǎng)上讓你做這幾件事,很可能是騙子
涉及錢財需謹(jǐn)慎�,請仔細(xì)核對并確認(rèn)收款人、收款賬戶信息無誤再進(jìn)行轉(zhuǎn)賬����,不要輕信所謂的“安全賬戶”。>>詳細(xì)
【反詐干貨】教你識別假幣騙局�����,練就“火眼金睛”
如果誤收了假幣�����,請不要再繼續(xù)使用���,應(yīng)上繳當(dāng)?shù)劂y行或公安機(jī)關(guān)��。如果知道是誰向你支付了這張假幣,可以向公安機(jī)關(guān)報告�����,由公安機(jī)關(guān)進(jìn)行后續(xù)處理���。>>詳細(xì)
【信用卡】金融知識小課堂第三期
若發(fā)生金融糾紛,消費者可以通過銀行客服熱線反映訴求��,也可以通過銀行業(yè)保險業(yè)調(diào)解組織熱線���、監(jiān)管部門公布的官方渠道反映訴求�����。>>詳細(xì)
鄭州銀行帶你了解《鄭州市假幣犯罪舉報獎勵辦法(試行)》
凡向鄭州市公安機(jī)關(guān)舉報鄭州市轄區(qū)內(nèi)假幣犯罪�,經(jīng)查證屬實并對案件偵查工作起到重要作用的自然人��、法人或其他組織���,為舉報有功人員��。>>詳細(xì)
供應(yīng)鏈金融數(shù)字化轉(zhuǎn)型���,安全風(fēng)險如何防范��?
CFCA已與多家知名大型供應(yīng)鏈金融平臺達(dá)成合作���,為其提供成熟的解決方案,實現(xiàn)了核心企業(yè)資金回籠加快���、上下游企業(yè)粘性提升、融資平臺現(xiàn)有發(fā)展模式突破���。>>詳細(xì)
北京市場監(jiān)管局:警惕“元宇宙”等炒作 防范新型非法集資
切勿相信所謂“穩(wěn)賺不賠”“高收益���、零風(fēng)險”的謊言,謹(jǐn)記高收益必然伴隨著高風(fēng)險�����。>>詳細(xì)
民生銀行:警銀聯(lián)動機(jī)智勸阻 “養(yǎng)老”不“坑老”
近日��,民生銀行天津西站支行成功堵截一起養(yǎng)老詐騙�,為客戶避免30萬元資金損失。>>詳細(xì)
深圳農(nóng)商銀行成功攔截電信詐騙案�,以實際行動守護(hù)客戶資金安全
民警到達(dá)網(wǎng)點后,與理財經(jīng)理一起對龍先生進(jìn)行了勸阻�,龍先生才恍然大悟,意識到遭遇了詐騙����,放棄了轉(zhuǎn)賬����,成功避免了24萬元的經(jīng)濟(jì)損失。>>詳細(xì)
這場“溫情”騙局被識穿 貴陽銀行世紀(jì)城社區(qū)支行為客戶挽回10萬元
2月6日上午���,貴陽銀行世紀(jì)城社區(qū)支行成功堵截了一起網(wǎng)絡(luò)詐騙,及時為客戶挽回經(jīng)濟(jì)損失10萬元��。>>詳細(xì)
安全威脅播報
上周漏洞基本情況
上周(2023年1月30日-2月5日)信息安全漏洞威脅整體評價級別為中�����。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集�����、整理信息安全漏洞229個��,其中高危漏洞106個��、中危漏洞114個�、低危漏洞9個。漏洞平均分值為6.59��。上周收錄的漏洞中,涉及0day漏洞115個(占50%)����,其中互聯(lián)網(wǎng)上出現(xiàn)“Lead Management System SQL注入漏洞(CNVD-2023-05741)、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞��。
上周重要漏洞安全告警
IBM產(chǎn)品安全漏洞
IBM Sterling B2B Integrator是美國國際商業(yè)機(jī)器(IBM)公司的一套集成了重要的B2B流程���、交易和關(guān)系的軟件�����。該軟件支持與不同的合作伙伴社區(qū)之間實現(xiàn)復(fù)雜的B2B流程的安全集成��。IBM Spectrum Virtualize是美國國際商業(yè)機(jī)器(IBM)公司的一個塊存儲虛擬化系統(tǒng)���?���?商岣咝碌暮同F(xiàn)有存儲基礎(chǔ)架構(gòu)的數(shù)據(jù)價值����、安全性和簡單性。上周����,上述產(chǎn)品被披露存在多個漏洞���,攻擊者可利用漏洞在Web UI中嵌入任意JavaScript代碼����,從而改變預(yù)期的功能��,導(dǎo)致可信會話中的憑證泄露���,發(fā)送特制的SQL語句���,查看、添加��、修改或刪除后端數(shù)據(jù)庫中的信息等����。
CNVD收錄的相關(guān)漏洞包括:IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)�����、IBM Sterling B2B Integrator權(quán)限提升漏洞(CNVD-2023-05239)���、IBM Sterling B2B Integrator跨站腳本漏洞(CNVD-2023-05238����、CNVD-2023-05245)��、IBM Sterling B2B Integrator信息泄露漏洞(CNVD-2023-05244�����、CNVD-2023-05241)、IBM Spectrum Virtualize信息泄露漏洞��、IBM Sterling B2B Integrator Standard Edition跨站腳本漏洞(CNVD-2023-05243)����。其中�,“IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)�、IBM Sterling B2B Integrator權(quán)限提升漏洞(CNVD-2023-05239)”漏洞的綜合評級為“高?��!?��。目前�����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序��。
Adobe產(chǎn)品安全漏洞
Adobe InCopy是美國奧多比(Adobe)公司的一款用于創(chuàng)作的文本編輯軟件��。上周����,上述產(chǎn)品被披露存在多個漏洞�,攻擊者可利用漏洞繞過ASLR等緩解措施,導(dǎo)致敏感內(nèi)存泄露���,在當(dāng)前用戶的上下文中任意執(zhí)行代碼等����。
CNVD收錄的相關(guān)漏洞包括:Adobe InCopy緩沖區(qū)溢出漏洞(CNVD-2023-05227���、CNVD-2023-05231)�、Adobe InCopy越界寫入漏洞(CNVD-2023-05226��、CNVD-2023-05230)�、Adobe InCopy輸入驗證錯誤漏洞�����、Adobe InCopy釋放后使用漏洞����、Adobe InCopy越界讀取漏洞(CNVD-2023-05234�、CNVD-2023-05225)。其中��,除“Adobe InCopy越界讀取漏洞(CNVD-2023-05225��、CNVD-2023-05234)�、Adobe InCopy釋放后使用漏洞”外其余漏洞的綜合評級為“高危”���。目前�����,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序����。
Apache產(chǎn)品安全漏洞
Apache Superset是美國阿帕奇(Apache)基金會的一個數(shù)據(jù)可視化和數(shù)據(jù)探索平臺��。Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創(chuàng)建����、管理和監(jiān)控工作流程的開源平臺。Apache James是美國阿帕奇(Apache)基金會的一個完全用Java編寫的開源Smtp和Pop3 郵件傳輸代理和Nntp新聞服務(wù)器���。Apache Calcite是一個動態(tài)數(shù)據(jù)管理框架�,它具備很多典型數(shù)據(jù)庫管理系統(tǒng)的功能�,比如SQL解析、SQL校驗�����、SQL查詢優(yōu)化�、SQL生成以及數(shù)據(jù)連接查詢等。上周�����,上述產(chǎn)品被披露存在多個漏洞��,攻擊者可利用漏洞導(dǎo)致跨站腳本攻擊��,提交特殊的請求�,可以應(yīng)用程序上下文執(zhí)行任意命令等����。
CNVD收錄的相關(guān)漏洞包括:Apache Superset跨站腳本漏洞(CNVD-2023-05220���、CNVD-2023-05219��、CNVD-2023-05218)����、Apache Superset訪問控制錯誤漏洞(CNVD-2023-05217)����、 Apache Airflow命令注入漏洞(CNVD-2023-05224)、Apache James信息泄露漏洞��、Apache James授權(quán)問題漏洞��、Apache Calcite點擊劫持漏洞��。其中“Apache Superset跨站請求偽造漏洞�、 Apache Airflow命令注入漏洞(CNVD-2023-05224)”漏洞的綜合評級為“高危”����。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序����。
Mozilla產(chǎn)品安全漏洞
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周�����,上述產(chǎn)品被披露存在多個漏洞���,攻擊者可利用漏洞能夠讀取和修改數(shù)據(jù)���,繞過iframe沙箱并在任意窗口的上下文中執(zhí)行任意JavaScript代碼等。
CNVD收錄的相關(guān)漏洞包括:Mozilla Firefox安全特征問題漏洞(CNVD-2023-05205�、CNVD-2023-05206)、Mozilla Firefox信任管理問題漏洞(CNVD-2023-05204)���、Mozilla Firefox資源管理錯誤漏洞(CNVD-2023-05208)�����、Mozilla Firefox代碼問題漏洞(CNVD-2023-05207)�����、Mozilla Firefox權(quán)限許可和訪問控制問題漏洞(CNVD-2023-05212����、CNVD-2023-05211)、Mozilla Firefox競爭條件漏洞����。其中,除“Mozilla Firefox代碼問題漏洞(CNVD-2023-05207)”外其余漏洞的綜合評級為“高?��!?。目前�,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。
Online Food Ordering System任意文件上傳漏洞(CNVD-2023-06523)
Online Food Ordering System是一個在線食品訂購系統(tǒng)���。上周�����,Online Food Ordering System被披露存在文件上傳漏洞�����。攻擊者可利用該漏洞上傳惡意文件從而遠(yuǎn)程執(zhí)行任意代碼��。目前���,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。
小結(jié)
上周�,IBM產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在Web UI中嵌入任意JavaScript代碼�,從而改變預(yù)期的功能,導(dǎo)致可信會話中的憑證泄露��,發(fā)送特制的SQL語句�,查看、添加��、修改或刪除后端數(shù)據(jù)庫中的信息等�。此外,Adobe�����、Apache�、Mozilla等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞繞過ASLR等緩解措施��,導(dǎo)致敏感內(nèi)存泄露�,在當(dāng)前用戶的上下文中任意執(zhí)行代碼�����,讀取和修改數(shù)據(jù)��,繞過iframe沙箱并在任意窗口的上下文中執(zhí)行任意JavaScript代碼等�����。另外���,Online Food Ordering System被披露存在任意文件上傳漏洞。攻擊者可利用該漏洞上傳惡意文件從而遠(yuǎn)程執(zhí)行任意代碼���。建議相關(guān)用戶隨時關(guān)注上述廠商主頁���,及時獲取修復(fù)補(bǔ)丁或解決方案。
中國電子銀行網(wǎng)綜合CNVD�����、第一財經(jīng)�����、中國工商銀行客戶服務(wù)、民生銀行�、上海銀行、鄭州銀行����、貴陽銀行、深圳農(nóng)商銀行報道
關(guān)鍵詞:
信息安全
修補(bǔ)程序
營業(yè)執(zhí)照公示信息