国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞469个,互联网上出现“GPAC缓冲区溢出漏洞(CNVD-2022-66588)、ZZCMS index php信息泄露漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
(资料图片仅供参考)
一周行业要闻速览
小郑课堂|《反电信网络诈骗法》知识普及
反电信网络诈骗法共七章50条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等。>>详细
姣姣课堂 | 警惕虚拟货币投资 粉碎“馅饼”滤镜
近年来,随着虚拟货币的兴起,一些不法分子也紧跟“潮流”,利用互联网平台进行虚拟交易,将诈骗“馅饼”渗透到生活中。>>详细
安全加码 | 开通云证书,安全更便捷
云证书是青岛银行与中国金融认证中心(CFCA)推出的一种可靠、高效、便捷数字签名的安全认证工具。>>详细
【反诈】防骗口诀来咯!守护您的“钱袋子”
接到电话不用慌,不给密码不转账;中奖短信不轻信,天上不会掉馅饼;个人信息很重要,时时刻刻保护好。>>详细
【消保以案说险】“屏幕共享”后钱不翼而飞?小心,别中招!
提升个人信息保护意识,不与陌生人开启“屏幕共享”不在“屏幕共享”的情况下打开支付软件、银行账户等操作界面或进行涉及输入密码、转账汇款等相关操作。>>详细
助力提升公众金融素养 营口银行组织开展金融联合教育宣传活动
咨询员为前来办理业务的客户讲解金融知识,包括如何安全使用手机银行和网上银行,如何安全用卡,如何识别假币,如何防范电信诈骗等,加强营业网点宣传力度。>>详细
【诈骗防范】如何防范电信诈骗,中银E贷教您识别套路
一旦发现账户资金有异常变动,立刻冻结、挂失,并向当地公安机关报告。>>详细
@所有用户:一文读懂数字证书申请、使用这些事儿!
您可以在各类场景使用数字证书,如网银或手机银行转账、在线签署电子合同、在线办理相关业务等。>>详细
安全威胁播报
上周漏洞基本情况
上周(2022年9月26日-10月9日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞469个,其中高危漏洞151个、中危漏洞226个、低危漏洞92个。漏洞平均分值为5.79。上周收录的漏洞中,涉及0day漏洞238个(占51%),其中互联网上出现“GPAC缓冲区溢出漏洞(CNVD-2022-66588)、ZZCMS index php信息泄露漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上执行任意代码。
CNVD收录的相关漏洞包括:Google Android权限提升漏洞(CNVD-2022-65631、CNVD-2022-65633、CNVD-2022-65639、CNVD-2022-65636、CNVD-2022-65640、CNVD-2022-65641、CNVD-2022-65642)、Google Android代码执行漏洞(CNVD-2022-65638)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。Microsoft Windows Kernel是美国微软(Microsoft)公司的Windows操作系统的内核。Microsoft Windows Installer是美国微软(Microsoft)公司的Windows 操作系统的一个组件。为安装和卸载软件提供了标准基础。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,导致权限提升,造成拒绝服务。
CNVD收录的相关漏洞包括:Microsoft Windows Secure Channel拒绝服务漏洞、Microsoft Windows Telephony Serve权限提升漏洞、Microsoft Windows Upgrade Assistant远程代码执行漏洞、Microsoft Windows Kernel信息泄露漏洞(CNVD-2022-65612)、Microsoft Windows Digital Media Receiver提升权限漏洞、Microsoft Windows Endpoint Configuration Manager权限提升漏洞、Microsoft Windows Installer权限提升漏洞、Microsoft Windows iSCSI Target Service信息泄露漏洞。其中,“Microsoft Windows Telephony Serve权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器。Adobe Photoshop是一个由Adobe公司开发和发行的应用软件,用于图像处理。Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取任意文件,在当前用户的上下文中执行任意代码,导致缓冲区溢出等。
CNVD收录的相关漏洞包括:Adobe Bridge资源管理错误漏洞(CNVD-2022-66014、CNVD-2022-66013)、Adobe Photoshop缓冲区溢出漏洞(CNVD-2022-66018、CNVD-2022-66021、CNVD-2022-66022)、Adobe InDesign缓冲区溢出漏洞(CNVD-2022-66017)、Adobe Bridge缓冲区溢出漏洞(CNVD-2022-66015)、Adobe Experience Manager跨站脚本漏洞(CNVD-2022-66019)。其中,除“Adobe Bridge资源管理错误漏洞(CNVD-2022-66014)、Adobe InDesign缓冲区溢出漏洞(CNVD-2022-66017)、Adobe Experience Manager跨站脚本漏洞(CNVD-2022-66019)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
IBM产品安全漏洞
IBM Security Identity Governance and Intelligence(IGI)是美国IBM公司的一套身份治理解决方案。该产品包括生命周期管理、访问风险评估和身份认证管理等功能。IBM Cognos Controller是美国IBM公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM Guardium Data Encryption是获取定价信息、用于保护数据和业务的加密解决方案 。IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本,有利于尽早发现工程流程中的需求错误,加快产品上市。IBM Data Virtualization on Cloud Pak for Data是美国IBM公司的一种云原生解决方案。可让您快速高效地使用数据。IBM Business Automation Workflow是美国IBM公司的一套工作流程自动化解决方案。该产品主要用于工作流程管理、合规性管理,并具有工作流程可见性和可扩展等特点。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息或消耗内存资源,在Web UI中嵌入任意JavaScript代码,造成应用拒绝服务等。
CNVD收录的相关漏洞包括:IBM Security Identity Governance and Intelligence信息泄露漏洞(CNVD-2022-66259)、IBM Cognos Controller XML外部实体注入漏洞(CNVD-2022-66264、CNVD-2022-66265)、IBM InfoSphere Information Server跨站脚本漏洞(CNVD-2022-66262)、IBM Guardium Data Encryption信息泄漏漏洞(CNVD-2022-66261)、IBM Engineering Requirements Quality Assistant拒绝服务漏洞、IBM Data Virtualization on Cloud Pak for Data信息泄露漏洞、IBM Business Automation Workflow和Business Process Manager信息泄露漏洞。目前,厂商已经发布了上述漏洞的修补程序。
Linux kernel拒绝服务漏洞(CNVD-2022-66585)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周,Linux kernel被披露存在拒绝服务漏洞。攻击者可利用该漏洞通过io_uring触发Linux kernel的内存损坏,从而导致拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Google产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在系统上执行任意代码。此外,Microsoft、Adobe、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞读取任意文件,获取敏感信息,执行任意代码,导致权限提升,造成拒绝服务等。另外,Linux kernel被披露存在拒绝服务漏洞。攻击者可利用该漏洞通过io_uring触发Linux kernel的内存损坏,从而导致拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、中国银行微银行、交通银行、郑州银行、微青银、桂林银行金融服务、营口银行、东莞银行报道