國家信息安全漏洞共享平臺上周共收集��、整理信息安全漏洞381個,互聯(lián)網(wǎng)上出現(xiàn)“Tenda AC18堆棧溢出漏洞�����、Eolinker goku_lite SQL注入漏洞”等零日代碼攻擊漏洞�����,上周信息安全漏洞威脅整體評價級別為中�。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞�,深入探討信息安全知識。
(資料圖片)
一周行業(yè)要聞速覽
【收藏】警惕養(yǎng)老詐騙�����,護航幸福生活
老年人不要隨意添加陌生人為好友�,更不要隨意加入任何投資理財、低價購物等相關(guān)的社交群���。>>詳細(xì)
關(guān)于開展網(wǎng)絡(luò)安全服務(wù)認(rèn)證工作的實施意見
市場監(jiān)管總局�、中央網(wǎng)信辦��、工業(yè)和信息化部��、公安部根據(jù)職責(zé),加強認(rèn)證工作的組織實施和監(jiān)督管理�,鼓勵網(wǎng)絡(luò)運營者等廣泛采信網(wǎng)絡(luò)安全服務(wù)認(rèn)證結(jié)果,促進網(wǎng)絡(luò)安全服務(wù)產(chǎn)業(yè)健康有序發(fā)展�����。>>詳細(xì)
人民銀行召開2023年反洗錢工作電視會議
持續(xù)提升反洗錢監(jiān)測分析能力�����,進一步完善反洗錢數(shù)據(jù)使用和管理�;七是持續(xù)加強調(diào)查研究,提升基礎(chǔ)工作實效����。>>詳細(xì)
3句話,讓我躲過了穿著“數(shù)幣”馬甲的新騙局
數(shù)字人民幣是法定貨幣�,與紙鈔和硬幣等價,沒有收藏及炒作價值�,任何關(guān)于利用數(shù)幣推廣“獲利���、返現(xiàn)�����、繳納保證金”的均為欺詐�����,如發(fā)現(xiàn)上當(dāng)受騙����,及時報警。>>詳細(xì)
叮咚�����!您有一封防詐騙來信��,請查收
無論對方以怎樣的理由通過電話或者網(wǎng)絡(luò)聯(lián)系你���,當(dāng)其最終要求你進行轉(zhuǎn)賬支付時�,請?zhí)岣呔瑁?>詳細(xì)
【干貨】消保知識之漫談《銀行保險機構(gòu)消費者權(quán)益保護管理辦法》
《銀行保險機構(gòu)消費者權(quán)益保護管理辦法》切實貫徹了“以人民為中心”的發(fā)展思想����,充實了審慎監(jiān)管與行為監(jiān)管并重的監(jiān)管體系,切實保護了金融消費者的合法權(quán)益����。>>詳細(xì)
消保小課堂丨倡導(dǎo)理性消費 珍視個人信用
不良記錄主要是在借貸�、賒購�����、擔(dān)保��、租賃�����、保險�、使用信用卡等活動中未按照合同履行義務(wù)或未承擔(dān)相關(guān)責(zé)任所產(chǎn)生的。>>詳細(xì)
【提示】警惕“反催收”黑產(chǎn)詐騙
“反催收”詐騙組織會根據(jù)所謂業(yè)務(wù)需要收集您的身份信息�、電話號碼、銀行卡號甚至征信報告內(nèi)容���,存在個人信息泄露的隱患�。>>詳細(xì)
安全威脅播報
上周漏洞基本情況
上周(2023年3月20日-26日)信息安全漏洞威脅整體評價級別為中�����。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集�����、整理信息安全漏洞381個��,其中高危漏洞161個��、中危漏洞180個����、低危漏洞40個。漏洞平均分值為6.34�。上周收錄的漏洞中,涉及0day漏洞331個(占87%)�,其中互聯(lián)網(wǎng)上出現(xiàn)“Tenda AC18堆棧溢出漏洞、Eolinker goku_lite SQL注入漏洞”等零日代碼攻擊漏洞�。
上周重要漏洞安全告警
Google產(chǎn)品安全漏洞
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。上周���,上述產(chǎn)品被披露存在多個漏洞��,攻擊者可利用漏洞獲取敏感信息�����,提升權(quán)限��,造成拒絕服務(wù)��。
CNVD收錄的相關(guān)漏洞包括:Google Android信息泄露漏洞(CNVD-2023-18906)����、Google Android拒絕服務(wù)漏洞(CNVD-2023-18908、CNVD-2023-18909)�����、Google Android權(quán)限提升漏洞(CNVD-2023-18910�、CNVD-2023-18915、CNVD-2023-18912��、CNVD-2023-18913�����、CNVD-2023-18914)���。其中��,除“Google Android信息泄露漏洞(CNVD-2023-18906)�、Google Android拒絕服務(wù)漏洞(CNVD-2023-18908�����、CNVD-2023-18909)”外其余漏洞的綜合評級為“高危”����。目前����,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。
Microsoft產(chǎn)品安全漏洞
Microsoft Windows Bluetooth Service是美國微軟(Microsoft)公司的一個藍(lán)牙驅(qū)動程序����。Microsoft Office是微軟公司開發(fā)的一套基于Windows操作系統(tǒng)的辦公軟件套裝。Microsoft Windows是一款由美國微軟公司開發(fā)的窗口化操作系統(tǒng)���。Microsoft Exchange Server是美國微軟(Microsoft)公司的一套電子郵件服務(wù)程序���。它提供郵件存取、儲存�����、轉(zhuǎn)發(fā)��,語音郵件,郵件過濾篩選等功能�����。上周��,上述產(chǎn)品被披露存在多個漏洞����,攻擊者可利用漏洞提升權(quán)限,在目標(biāo)主機上執(zhí)行代碼�。
CNVD收錄的相關(guān)漏洞包括:Microsoft Windows Bluetooth Service代碼執(zhí)行漏洞、Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-18284)���、Microsoft Office信息泄露漏洞(CNVD-2023-18285)��、Microsoft Windows Malicious Software Removal Tool權(quán)限提升漏洞���、Microsoft Office遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-18287、CNVD-2023-18288)�����、Microsoft Office Visio遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-18289)����、Microsoft Windows Kernel權(quán)限提升漏洞(CNVD-2023-18290)��。其中��,除“Microsoft Office信息泄露漏洞(CNVD-2023-18285)�����、Microsoft Windows Malicious Software Removal Tool權(quán)限提升漏洞”外,其余漏洞的綜合評級為“高?���!薄D壳?���,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。
Fortinet產(chǎn)品安全漏洞
Fortinet FortiWeb是美國飛塔(Fortinet)公司的一款Web應(yīng)用層防火墻����,它能夠阻斷如跨站點腳本、SQL注入�、Cookie中毒、schema中毒等攻擊的威脅����。上周����,上述產(chǎn)品被披露存在多個漏洞��,攻擊者可利用漏洞通過特制的HTTP GET請求獲取對文件和數(shù)據(jù)的未經(jīng)授權(quán)訪問�����,提升權(quán)限�����,執(zhí)行任意代碼或命令等�����。
CNVD收錄的相關(guān)漏洞包括:Fortinet FortiWeb操作系統(tǒng)命令注入漏洞(CNVD-2023-18291)���、Fortinet FortiWeb格式化字符串錯誤漏洞�����、Fortinet FortiWeb緩沖區(qū)溢出漏洞(CNVD-2023-18294�����、CNVD-2023-18297�����、CNVD-2023-18301����、CNVD-2023-18300)、Fortinet FortiWeb路徑遍歷漏洞(CNVD-2023-18293)�、Fortinet FortiWeb資源管理錯誤漏洞�。其中,“Fortinet FortiWeb操作系統(tǒng)命令注入漏洞(CNVD-2023-18291)���、Fortinet FortiWeb緩沖區(qū)溢出漏洞(CNVD-2023-18294�����、CNVD-2023-18297��、CNVD-2023-18300)”的綜合評級為“高?����!?��。目前�,廠商已經(jīng)發(fā)布了上述漏洞的修補程序�。
Siemens產(chǎn)品安全漏洞
Siemens Tecnomatix Plant Simulation是德國西門子(Siemens)公司的一個工控設(shè)備。利用離散事件仿真的功能進行生產(chǎn)量分析和優(yōu)化����,進而改善制造系統(tǒng)性能。上周�����,上述產(chǎn)品被披露存在多個漏洞�����,攻擊者可利用漏洞在當(dāng)前進程的上下文中執(zhí)行代碼��。
CNVD收錄的相關(guān)漏洞包括:Siemens Tecnomatix Plant Simulation堆棧緩沖區(qū)溢出漏洞(CNVD-2023-18928�����、CNVD-2023-18933)�����、Siemens Tecnomatix Plant Simulation越界讀取漏洞(CNVD-2023-18929、CNVD-2023-18932���、CNVD-2023-18935)�、Siemens Tecnomatix Plant Simulation越界寫入漏洞(CNVD-2023-18930�����、CNVD-2023-18931)��、Siemens Tecnomatix Plant Simulation內(nèi)存破壞漏洞��。上述漏洞的綜合評級為“高?�!?��。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序�。
TRENDnet TEW-755AP緩沖區(qū)溢出漏洞
TRENDnet TEW-755AP是美國趨勢網(wǎng)絡(luò)(TRENDnet)公司的一款路由器。上周�,TRENDnet TEW-755AP被披露存在緩沖區(qū)溢出漏洞。該漏洞源于wifi_captive_portal函數(shù)中的user_edit_page參數(shù)對輸入的數(shù)據(jù)缺乏大小檢查��,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。目前��,廠商尚未發(fā)布上述漏洞的修補程序�����。
小結(jié)
上周�,Google產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息�����,提升權(quán)限�,造成拒絕服務(wù)。此外�,Microsoft、Fortinet�����、Siemens等多款產(chǎn)品被披露存在多個漏洞�,攻擊者可利用漏洞通過特制的HTTP GET請求獲取對文件和數(shù)據(jù)的未經(jīng)授權(quán)訪問,提升權(quán)限��,執(zhí)行任意代碼或命令等���。另外���,TRENDnet TEW-755AP被披露存在緩沖區(qū)溢出漏洞����。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼���。建議相關(guān)用戶隨時關(guān)注上述廠商主頁��,及時獲取修復(fù)補丁或解決方案�。
中國電子銀行網(wǎng)綜合CNVD��、中國人民銀行���、國家認(rèn)監(jiān)委�����、中國建設(shè)銀行、廣發(fā)銀行�����、杭州銀行微訊、蒙商銀行��、泉州銀行�、昆侖銀行報道
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息