国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞288个,互联网上出现“drachtio-server存在信息泄露漏洞、Hospital Management Center SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
(相关资料图)
以案说险:佣金太诱人 其实是陷阱
请你妥善保管好本人身份证件、银行卡、密码、UK等支付工具,避免被他人盗取用于电信网络诈骗犯罪。银行卡、密码丢失要立即联系开户银行办理挂失。>>详细
辽宁银保监局:警惕消费者陷入违规转贷多重风险之中
违规转贷包括经营贷风险、信用贷风险、财务风险、个人信息泄露风险四种风险。>>详细
普及金融小常识之 | 您的个人信息可能是这样泄露的
在下载APP或登录网站时,务必谨慎填写个人信息,尤其是个人金融信息。>>详细
【小兜理财课堂】守住养老钱,谨防养老骗局
以“养老”为名的骗局层出不穷,骗子往往以“投资养老”、“以房养老”等为幌子,骗取老年朋友们的钱财。小兜提醒广大老年朋友做到三个“不要”:一、不要轻易相信;二、不要轻易跟风;三、不要轻易支付。>>详细
【消保黔行】远离套路贷,万万碰不得!
高利贷只追求高额利息,而“套路贷”对于债务人的利息压榨远高于高利贷,实在是让人深恶痛绝。>>详细
ChatGPT火“爆”了!防范AI安全风险,谁来出手?
CFCA立足于金融行业,建立了涵盖安全性、可解释性、精准性和性能等方面的人工智能算法检测体系,可提供符合《人工智能算法金融应用评价规范》(JR/T 0221-2021)要求的人工智能算法金融应用评估服务。>>详细
存量房贷高企,“转贷”套路再现,小心“赔了夫人又折兵”
如果贷款客户虚构贷款用途,或者在中介的帮助下提供了虚假的贷款材料,涉嫌骗取贷款构成刑事犯罪。>>详细
迅速反应,及时止损!杭州银行成功拦截多起诈骗案件发生
近期杭州银行拦截的多起诈骗事件,都是真实案例,别再上当啦!>>详细
请谨慎接听可疑号段电话
请注意“19X”开头的来电,并不一定都是诈骗电话,但对陌生电话请一定多加防备。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年2月6日-2月12日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞288个,其中高危漏洞126个、中危漏洞140个、低危漏洞22个。漏洞平均分值为6.27。上周收录的漏洞中,涉及0day漏洞182个(占63%),其中互联网上出现“drachtio-server存在信息泄露漏洞、Hospital Management Center SQL注入漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌(Google)公司的一款Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上执行任意代码,造成拒绝服务。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2023-07603、CNVD-2023-07604、CNVD-2023-07644、CNVD-2023-07646、CNVD-2023-07647)、Google Android拒绝服务漏洞(CNVD-2023-07613)、Google Android代码执行漏洞(CNVD-2023-07645)、Google Chrome Accessibility代码执行漏洞。其中,除“Google Android拒绝服务漏洞(CNVD-2023-07613)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Mozilla产品安全漏洞
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞发起跨站脚本攻击,绕过实施的安全限制,在目标系统上执行任意代码,导致程序崩溃等。
CNVD收录的相关漏洞包括:Mozilla Firefox缓冲区溢出漏洞(CNVD-2023-06858、CNVD-2023-06860、CNVD-2023-06865、CNVD-2023-06864)、Mozilla Firefox资源管理错误漏洞(CNVD-2023-06859)、Mozilla Firefox输入验证错误漏洞(CNVD-2023-06861)、Mozilla Firefox跨站脚本漏洞(CNVD-2023-06863)、Mozilla Firefox安全特征问题漏洞(CNVD-2023-06862)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中任意执行代码,绕过ASLR等缓解措施,导致敏感内存泄露。
CNVD收录的相关漏洞包括:Adobe Illustrator越界读取漏洞(CNVD-2023-07320、CNVD-2023-07318、CNVD-2023-07317、CNVD-2023-07323、CNVD-2023-07322)、Adobe Illustrator输入验证错误漏洞(CNVD-2023-07319、CNVD-2023-07321)、Adobe Illustrator资源管理错误漏洞(CNVD-2023-07324)。其中“Adobe Illustrator输入验证错误漏洞(CNVD-2023-07319、CNVD-2023-07321)、Adobe Illustrator资源管理错误漏洞(CNVD-2023-07324)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Foxit产品安全漏洞
Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。Foxit Reader是中国福昕(Foxit)公司的一款PDF文档阅读器。Foxit PDF Editor是一款PDF编辑器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前进程的上下文中执行代码,导致拒绝服务等。
CNVD收录的相关漏洞包括:Foxit PDF Reader内存错误引用漏洞(CNVD-2023-07826、CNVD-2023-07827、CNVD-2023-07828)、Foxit Reader代码问题漏洞(CNVD-2023-07829)、Foxit PDF Reader和PDF Editor代码问题漏洞、Foxit PDF Reader deletePages远程代码执行漏洞、Foxit PDF Reader Doc对象远程代码执行漏洞、Foxit PDF Reader Annotation远程代码执行漏洞(CNVD-2023-07867)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Tenda AC23堆栈溢出漏洞
Tenda AC23是中国腾达(Tenda)公司的一款双频千兆无线路由器。上周,Tenda AC23被披露存在堆栈溢出漏洞,攻击者可利用该漏洞执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上执行任意代码,造成拒绝服务。此外,Mozilla、Adobe、Foxit等多款产品被披露存在多个漏洞,攻击者可利用漏洞发起跨站脚本攻击,绕过实施的安全限制,在目标系统上执行任意代码,导致拒绝服务等。另外,Tenda AC23被披露存在堆栈溢出漏洞。攻击者可利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、第一财经、中国证券报·中证网、中国邮政储蓄银行、杭州银行微讯、贵州银行、湖北银行、华润银行、柳州银行报道
