国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞254个,互联网上出现“Tenda AC23命令注入漏洞、Faculty Evaluation System SQL注入漏洞(CNVD-2023-45448)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
警惕!这些都是电信诈骗套路
(资料图)
不轻信、不透露、不转账,不随意点击陌生链接,不随意接听陌生电话,要及时报案,切实保护好自己的财产安全。>>详细
【消保】网络游戏诈骗多,识别防范保安全
各位大朋友和小朋友们,我们要共同提高警惕,学习金融知识,了解骗子套路,提早识别预防,守护好家庭财富。>>详细
【反洗钱宣传月】远离虚拟货币 增强风险意识
比特币等虚拟货币交易炒作活动盛行,扰乱经济金融秩序,滋生洗钱、非法集资、诈骗、传销等违法犯罪活动,严重危害人民群众财产安全。 >>详细
浦浦发发带您巧识电信诈骗
提高风险防范意识,不要和陌生人开启带有“屏幕共享”功能的各类聊天软件或会议APP,谨防上当受骗。>>详细
“以案说险”丨警惕“AI换脸”新骗局!请收下这本《防范手册》
请您时刻记得提醒身边的亲人、朋友了解各类金融诈骗套路的“新模式”“新技术”,加强风险防范意识,维护自身财产安全。>>详细
防诈|高考结束后,要小心这些诈骗!
凡是涉及钱财,考生和家长一定要提高警惕,多方验证。切勿点击陌生链接,登录相关网站时要通过官方认证的网址进入。>>详细
天上不会掉馅饼 清醒理智幸福长
邮储银行安全提醒:不随意泄露个人信息,不轻信高额理财回报。>>详细
警惕征信修复骗局,保护个人征信安全
“征信” 是如实记录您个人信用记录的一个客观记录,原本就不存在“修复”一说,所谓的承诺,当然都是骗子啦。>>详细
【守住钱袋子】个人金融信息安全
随着大数据、移动互联网和云计算等技术在金融领域的广泛应用,以数据形式被记录、储存和处理的个人金融信息极易被不法分子利用,广大消费者应妥善保管个人金融信息,防范金融风险,守住“钱袋子”。>>详细
安全威胁播报
上周漏洞基本情况
上周(2023年6月5日-11日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞254个,其中高危漏洞175个、中危漏洞68个、低危漏洞11个。漏洞平均分值为7.24。上周收录的漏洞中,涉及0day漏洞206个(占81%),其中互联网上出现“Tenda AC23命令注入漏洞、Faculty Evaluation System SQL注入漏洞(CNVD-2023-45448)”等零日代码攻击漏洞。
上周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft Windows DNS是美国微软(Microsoft)公司的一个域名解析服务。域名系统(DNS)是包含TCP / IP的行业标准协议套件之一,并且DNS客户端和DNS服务器共同为计算机和用户提供计算机名称到IP地址的映射名称解析服务。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,远程代码执行。
CNVD收录的相关漏洞包括:Microsoft Windows DNS远程代码执行漏洞(CNVD-2023-44299、CNVD-2023-44297、CNVD-2023-44298、CNVD-2023-44303、CNVD-2023-44302、CNVD-2023-44300、CNVD-2023-44304)、Microsoft Windows DNS信息泄露漏洞。其中,除“Microsoft Windows DNS信息泄露漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。Google TensorFlow是一套用于机器学习的端到端开源平台。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏,导致内存损坏,执行任意代码或造成拒绝服务等。
CNVD收录的相关漏洞包括:Google Chrome Navigation内存错误引用漏洞、Google Android资源管理错误漏洞(CNVD-2023-43880)、Google Android输入验证错误漏洞(CNVD-2023-43879)、Google Chrome类型混淆漏洞(CNVD-2023-43877)、Google Chrome缓冲区溢出漏洞(CNVD-2023-43887、CNVD-2023-43886、CNVD-2023-43885)、Google TensorFlow缓冲区溢出漏洞(CNVD-2023-43888)。其中,除“Google Android资源管理错误漏洞(CNVD-2023-43880)、Google Android输入验证错误漏洞(CNVD-2023-43879)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe Substance 3D Stager是美国奥多比(Adobe)公司的一个虚拟3D工作室。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行代码。
CNVD收录的相关漏洞包括:Adobe Substance 3D Stager堆缓冲区溢出漏洞(CNVD-2023-43891、CNVD-2023-43895)、Adobe Substance 3D Stager越界写入漏洞(CNVD-2023-43897、CNVD-2023-43893)、Adobe Substance 3D Stager内存错误引用漏洞、Adobe Substance 3D Stager越界读取漏洞(CNVD-2023-43894、CNVD-2023-43899、CNVD-2023-43890)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Rockwell Automation产品安全漏洞
Rockwell Automation ArmorStart ST是美国罗克韦尔(Rockwell Automation)公司的一种用于机旁控制架构的简单而经济实用的解决方案。上周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话,查看和修改敏感数据或使网页不可用等。
CNVD收录的相关漏洞包括:Rockwell Automation ArmorStart ST跨站脚本漏洞(CNVD-2023-44289、CNVD-2023-44288、CNVD-2023-44293、CNVD-2023-44292、CNVD-2023-44291、CNVD-2023-44290、CNVD-2023-44296、CNVD-2023-44295)。其中,“Rockwell Automation ArmorStart ST跨站脚本漏洞(CNVD-2023-44292、CNVD-2023-44296)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
ASUS RT-AC86U缓冲区溢出漏洞
ASUS RT-AC86U是中国华硕(ASUS)公司的一款双频Wi-Fi路由器。上周,ASUS RT-AC86U被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意系统命令、中断系统或终止服务。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Microsoft产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,远程代码执行。此外,Google、Adobe、Rockwell Automation等多款产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行代码,导致内存损坏或造成拒绝服务等。另外,ASUS RT-AC86U被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意系统命令、中断系统或终止服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国人民银行杭州中支、邮储银行+、中国光大银行、浦发银行、兴业银行、锦州银行、桂林银行金融服务、广东农信报道