国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞234个,互联网上出现“SWFTools getGifDelayTime函数缓冲区溢出漏洞、Bento4 AP4_HdlrAtom::AP4_HdlrAtom函数拒绝服务漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
金融防骗小贴士丨如何识别非法金融广告
(资料图)
随着金融产品及服务种类日益丰富,金融广告内容也变得五花八门,但一些不法分子却利用各种渠道平台投放非法金融广告,误导甚至诱骗金融消费者,从而导致金融消费者的人身权益、财产权益等受到损害。>>详细
江苏省联社崔怀雷:数据运用标签化、模糊化,保护客户隐私
在崔怀雷看来,数据主要分为采集、传输、存储和运用四个环节,“这四个环节都涉及数据安全一系列问题,包括《个保法》《征信管理办法》以及数据‘二十条’等。”>>详细
【警惕】电信诈骗手段升级,消费者如何防范?
向您索要“两码”的都是骗子!所有索要银行卡密码、验证码的非官方链接,统统关闭。所有索要银行卡密码、验证码的客服电话,统统挂断。>>详细
证监会发布《证券期货业网络和信息安全管理办法》
《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求。>>详细
【以案说险】眼见不一定为实,警惕AI诈骗
青年人要及时做好家中老人的宣传防范工作。提醒、告诫老年人在接到电话、收到短信时,只要是不认识、不熟悉的人和事,均不要理睬,以免被诱被骗。>>详细
【知识】警惕!这类“贷款短信”是诈骗!
短信中如果含有不明链接地址,需要谨慎对待,有疑问应通过银行官网或致电银行客服热线进行咨询,避免被钓鱼的风险。>>详细
安全课堂 | ETC停用提醒多留意,小心掉入诈骗陷阱
不要轻易点击不明短信内链接,不在陌生网址输入身份证号、银行卡号、验证码等个人信息。>>详细
医疗数据频泄露?别慌!这一招全部解决!
CFCA作为我国重要的信息安全基础设施之一,深入了解医疗行业数据安全管理痛点难点,围绕数据安全的重点管控环节,推出了针对全生命周期的数据安全治理咨询解决方案。>>详细
【以案说险】“代理退保”风险高,个人信息要守牢
根据自身需求选择合适的金融产品或服务,勿受“退旧保新”“高收益”等说辞诱导,慎重考虑退保。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年2月27日-3月5日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞234个,其中高危漏洞154个、中危漏洞72个、低危漏洞8个。漏洞平均分值为6.93。上周收录的漏洞中,涉及0day漏洞163个(占70%),其中互联网上出现“SWFTools getGifDelayTime函数缓冲区溢出漏洞、Bento4 AP4_HdlrAtom::AP4_HdlrAtom函数拒绝服务漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Siemens产品安全漏洞
Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。Siemens Parasolid是德国西门子(Siemens)公司的一个几何建模内核。Siemens Solid Edge是德国西门子(Siemens)公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。JT Open Toolkit是为支持JT的软件开发人员提供的应用程序编程接口(API)。JT是由西门子数字工业软件开发的公开发布的数据格式,广泛用于通信、可视化、数字模型和各种其他目的。Siemens Comos是德国西门子(Siemens)公司的一个工厂工程软件解决方案。用于过程工业。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。
CNVD收录的相关漏洞包括:Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2023-13089、CNVD-2023-13088、CNVD-2023-13087、CNVD-2023-13090、CNVD-2023-13095)、Siemens Parasolid和Solid Edge SE2022越界读取漏洞、Siemens JT Open和JT Utilitiesh内存破坏漏洞、Siemens Comos缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制的HTML页面绕过内容安全策略,泄露跨域数据,提升权限等。
CNVD收录的相关漏洞包括:Google Chrome V8类型混淆漏洞(CNVD-2023-12021)、Google Android Kernel权限提升漏洞(CNVD-2023-12019)、Google Chrome iframe Sandbox代码问题漏洞、Google Chrome安全特制问题漏洞、Google Chrome信息泄露漏洞(CNVD-2023-12025、CNVD-2023-14253、CNVD-2023-14290、CNVD-2023-14291)。其中,除“Google Android Kernel权限提升漏洞(CNVD-2023-12019)、Google Chrome信息泄露漏洞(CNVD-2023-12025)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe After Effects是美国奥多比(Adobe)公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Adobe After Effects输入验证错误漏洞、Adobe After Effects越界写入漏洞(CNVD-2023-13729、CNVD-2023-13731)、Adobe Bridge越界写入漏洞(CNVD-2023-13728、CNVD-2023-13734、CNVD-2023-14293)、Adobe Bridge堆栈缓冲区溢出漏洞(CNVD-2023-13735)、Adobe Bridge输入验证错误漏洞(CNVD-2023-14292)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Dell产品安全漏洞
Dell PowerScale OneFS是美国戴尔(Dell)公司的提供横向扩展NAS的PowerScale OneFS操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过多个受影响字段存储恶意HTML或JavaScript代码,获取敏感信息,导致系统崩溃等。
CNVD收录的相关漏洞包括:Dell PowerScale OneFS跨站脚本漏洞、Dell PowerScale OneFS缓冲区溢出漏洞、Dell PowerScale OneFS日志信息泄露漏洞(CNVD-2023-12626、CNVD-2023-12625、CNVD-2023-12630、CNVD-2023-12627)、Dell PowerScale OneFS信任管理问题漏洞、Dell PowerScale OneFS操作系统命令注入漏洞。其中,“Dell PowerScale OneFS日志信息泄露漏洞(CNVD-2023-12626、CNVD-2023-12627)、Dell PowerScale OneFS信任管理问题漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Tenda i9 formWifiMacFilterGet函数缓冲区溢出漏洞
Tenda i9是一款企业无线AP设备。上周,Tenda i9 formWifiMacFilterGet函数存在缓冲区溢出漏洞。攻击者可利用该漏洞通过特制的字符串造成拒绝服务(DoS)。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Siemens产品被披露存在多个漏洞,攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。此外,Google、Adobe、Dell等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过特制的HTML页面绕过内容安全策略,泄露跨域数据,提升权限,在当前用户的上下文中执行任意代码,导致系统崩溃等。另外,Tenda i9 formWifiMacFilterGet函数被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞通过特制的字符串造成拒绝服务(DoS)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、21世纪经济报道、证券日报、招商银行、兴业银行、北京银行微银行、河北银行、贵州银行、江西辖内农商银行微银行报道