国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞301个,互联网上出现“JeeCMS跨站脚本漏洞(CNVD-2023-17600)、WUZHI CMS跨站脚本漏洞(CNVD-2023-17601)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
当AI科技照进现实 安全问题不容忽视
(资料图)
风口已至,计算浪潮奔涌而来,在前景向好的大背景下,关口前移,建立数据安全防护墙也至关重要。>>详细
中信银行反诈“哨兵”,幸福财富信守安全
“哨兵”智能反欺诈系统,通过在欺诈交易关键链路上引入公安、社交、电信等外部风险信息,利用机器学习和大数据技术,实现风控策略的动态调整,管控措施的梯度化和精准化,强化反诈预警能力与劝阻机制。>>详细
消保专栏 | 工行助力百姓守好“钱袋子”
近期,工商银行精心开展了一系列形式多样的金融知识宣传普及活动。>>详细
远离诈骗 | 借贷转账?客户慌忙赶来办理业务,交行员工发现暗藏的骗局......
经过工作人员的劝说引导,客户明白自己遇到了诈骗。为避免其资金损失,经客户同意后,工作人员对其名下账户进行了挂失处理,保障了银行卡的资金安全。>>详细
骗术千千万 防骗留心眼 | 杭州银行成功堵截三起诈骗事件
为防止其他人员被骗,银行工作人员立即联系了反诈中心和人行丽水市中心支行反诈人员,将情况反馈后,反诈中心立即对账户进行了止付。>>详细
每一步,平安路!平安银行开展3·15金融知识普及活动
平安银行行长胡跃飞、行长特别助理蔡新发、行长助理孙芳滔、消费者权益保护中心主任颜恒、副主任樊丽等领导带头挂帅组团,化身“微光点亮者”,在线号召全行员工和金融消费者们通过线上、线下多种形式参与金融公益,在全国范围内健全和扩展金融宣教长效合作关系,一起放飞金融梦想,点亮消保微光!>>详细
场景金融时代 如何筑牢商业银行API安全防线?
为提高商业银行应用程序接口检测效率,CFCA自主研发“CFCA开放银行应用程序接口检测平台”。平台可在线开展API接口安全检测,实现一定程度的应用程序接口自动化检测,多方面验证API安全水平。>>详细
【反诈】银行卡突然收到一笔钱?千万别急着这样做
请广大市民妥善保管好自己的银行卡、手机卡(包括具备支付结算功能的账户),切勿贪图小利出售、出租、出借银行卡、电话卡,否则极易成为犯罪分子的“帮凶”并受到法律的严厉惩处。>>详细
【以案说险】现金换微信零钱吗?且慢!已有人上当!
来源不明的二维码千万不要扫,不然很可能被不法分子利用,导致个人机密信息被窃取,甚至造成巨大财产损失,一旦发现上当受骗,请立刻报警!>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年3月13日-19日)信息安全漏洞威胁整体评价级别为高。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞301个,其中高危漏洞192个、中危漏洞98个、低危漏洞11个。漏洞平均分值为7.44。上周收录的漏洞中,涉及0day漏洞179个(占59%),其中互联网上出现“JeeCMS跨站脚本漏洞(CNVD-2023-17600)、WUZHI CMS跨站脚本漏洞(CNVD-2023-17601)”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面从进程内存中获取潜在的敏感信息,通过特制的HTML页面导致堆损坏等。
CNVD收录的相关漏洞包括:Google Chrome DevTools组件类型混肴漏洞、Google Chrome Crash reporting组件缓冲区溢出漏洞、Google Chrome Core资源管理错误漏洞、Google Chrome Autofill组件代码问题漏洞、Google Chrome V8类型混淆漏洞(CNVD-2023-17527)、Google Chrome UMA组件缓冲区溢出漏洞(CNVD-2023-17526)、Google Chrome DevTools资源管理错误漏洞(CNVD-2023-17525)、Google Chrome Web Audio API组件缓冲区溢出漏洞。其中,除“Google Chrome Autofill组件代码问题漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
D-Link产品安全漏洞
D-Link DIR-605L是中国D-Link公司的一款无线路由器。上周,上述产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞导致远程代码执行或服务中断。
CNVD收录的相关漏洞包括:D-Link DIR-605L缓冲区溢出漏洞(CNVD-2023-17668、CNVD-2023-17667、CNVD-2023-17666、CNVD-2023-17670、CNVD-2023-17669、CNVD-2023-17673、CNVD-2023-17672、CNVD-2023-17671)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器。Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。该软件主要用于处理图片。Adobe Premiere Rush是美国奥多比(Adobe)公司的一套跨平台的视频编辑软件。Adobe After Effects是美国奥多比(Adobe)公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致敏感内存泄露,在当前用户的上下文中执行任意代码等。
CNVD收录的相关漏洞包括:Adobe Bridge堆缓冲区溢出漏洞(CNVD-2023-17020、CNVD-2023-17019)、Adobe Bridge越界读取漏洞(CNVD-2023-17018)、Adobe Photoshop输入验证错误漏洞(CNVD-2023-17021)、Adobe Photoshop越界写入漏洞(CNVD-2023-17022)、Adobe Premiere Rush堆栈缓冲区溢出漏洞、Adobe After Effects越界读取漏洞(CNVD-2023-17024)、Adobe Animate内存错误引用漏洞。除“Adobe Bridge越界读取漏洞(CNVD-2023-17018)、Adobe After Effects越界读取漏洞(CNVD-2023-17024)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Mozilla产品安全漏洞
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla PollBot是Mozilla基金会的一个微服务。将人类从Firefox发布过程中的状态轮询这一繁重任务中解放出来。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞将任何人重定向到恶意站点,绕过已实施的安全限制在受害者的浏览器中执行任意JavaScript代码,通过使程序在当前目录中搜索系统库提升权限等。
CNVD收录的相关漏洞包括:Mozilla Firefox竞争条件问题漏洞(CNVD-2023-17319)、Mozilla Firefox权限提升漏洞(CNVD-2023-17318)、Mozilla PollBot开放重定向漏洞、Mozilla Firefox资源管理错误漏洞(CNVD-2023-17321、CNVD-2023-17323)、Mozilla Firefox缓冲区溢出漏洞(CNVD-2023-17324)、Mozilla Firefox安全特征问题漏洞(CNVD-2023-17322、CNVD-2023-17320)。其中,除“Mozilla Firefox权限提升漏洞(CNVD-2023-17318)、Mozilla PollBot开放重定向漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Advantech iView SQL注入漏洞(CNVD-2023-16475)
Advantech iView是中国Advantech公司的一个基于简单网络协议(SNMP)来对B + B SmartWorx设备进行管理的软件。上周,Advantech iView 5.7.04.6469之前版本被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面从进程内存中获取潜在的敏感信息,通过特制的HTML页面导致堆损坏等等。此外,D-Link、Adobe、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞导致远程代码执行或服务中断,将任何人重定向到恶意站点,绕过已实施的安全限制在受害者的浏览器中执行任意JavaScript代码,通过使程序在当前目录中搜索系统库提升权限。另外,Advantech iView被披露存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、新华网、证券日报、中国工商银行、交通银行、中信银行微生活、杭州银行微讯、贵阳银行、广州农村商业银行报道