北京蓝军网安科技发展有限责任公司
banner

网络安全漏洞管理规定(征求意见稿)发布 iOS设备或不再安全

发布时间 2020-08-04

 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞293个,互联网上出现“RarmaRadio 'Server'拒绝服务漏洞、WordPress Antena_Ri Institute Themes开放重定向漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并告警重要漏洞,深入探讨信息安全知识。

一周行业要闻速览

工信部发布《网络安全漏洞管理规定(征求意见稿)》

为规范网络安全漏洞报告和信息发布等行为,保证网络产品、服务、系统的漏洞得到及时修补,提高网络安全防护水平,根据《国家安全法》《网络安全法》,制定本规定。>>详细

一家银行竟有8个APP 银行手机APP泛滥背后方便了谁?

有不少用户反映,一个银行多个APP,功能交叉重叠,霸满整个手机屏幕,用户体验却很一般。也有银行工作人员认为,每个APP都有自己的定位,把所有功能都放在一起,反而不方便。>>详细

一文看懂│如何让采购方“放心招”、供应商“安全投”?

当招投标行业全流程电子化蔚然成风,问题也随之而来,怎样才能保障电子招投标业务的安全合规,做到采购方“放心招”,供应商“安全投”?>>详细

人脸识别和生物识别在支付领域上的风险

在金融支付领域,由于其行业自身的高敏感性,对于新兴技术带来的新方案总是先天带有审慎态度,因此普遍还处于尝试阶段。>>详细

支付清算协会马国光:网络支付业务模式及安全规范发展研究

随着备付金集中存管、账户分类管理、客户实名制管理等监管要求的贯彻执行,基于银行账户的快捷支付模式和网关支付模式将可能逐步成为市场主体网络支付业务创新发展的主流。>>详细

招商银行夏雷:新一代实时智能反欺诈平台创新思路及成效

从早期的网上银行到今天的手机银行,银行积累了大量的风控手段,继续按原路径走下去是否可行?我们的结论是,现在已经到了必须变革的时候。>>详细

大数据促进银行普惠金融业务发展实践

建立金融大数据系统,提升金融多媒体数据处理与理解能力,创新智能金融产品和服务,重塑金融价值链和金融生态,将成为银行数字化转型的必由之路。>>详细

手机上的信息删了就彻底删除了?事情没你想得那么简单

购买新手机后,很多人都会将旧手机中储存的信息、照片删除,避免旧手机泄露信息。>>详细

至此,你的所有iOS设备(包括iOS 13)都不再安全了!

被破解后的iPhone可以被任意调取通话记录、电子邮件,甚至被删除的记录,这无疑是对个人信息安全的侵犯。虽然普通人不太可能被盯上,但想想也细思极恐,万一有人对你感兴趣,调出你的数据也是易如反掌。>>详细

安全威胁播报

上周漏洞基本情况

上周(2019年6月10日-16日)信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞293个,其中高危漏洞110个、中危漏洞162个、低危漏洞21个。漏洞平均分值为6.04。上周收录的漏洞中,涉及0day漏洞185个(占63%),其中互联网上出现“RarmaRadio 'Server'拒绝服务漏洞、WordPress Antena_Ri Institute Themes开放重定向漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Coremail邮件系统存在配置信息泄露漏洞

Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail论客邮件系统被披露存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息。目前,厂商已经发布了漏洞的修补程序。

Coremail邮件系统存在服务未授权访问和服务接口参数注入漏洞

Coremail邮件系统是论客科技(广州)有限公司(以下简称论客公司)自主研发的大型企业邮件系统,为客户提供电子邮件整体技术解决方案及企业邮局运营服务。Coremail邮件系统被披露存在服务未授权访问和服务接口参数注入漏洞。攻击者可利用漏洞在未授权的情况下访问部分服务接口和进行接口参数注入操作。目前,厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,执行任意代码,发起拒绝服务攻击等。

CNVD收录的相关漏洞包括:Mozilla Firefox和Mozilla Firefox ESR定时攻击漏洞、Mozilla Firefox和Mozilla Firefox ESRXMLHttpRequest内存错误引用漏洞、Mozilla Firefox和Mozilla Firefox ESR crash generation server资源管理错误漏洞、Mozilla Firefox和MozillaFirefox ESR内存破坏漏洞、Mozilla Firefox和Mozilla Firefox ESR内存错误引用漏洞、Mozilla Firefox和Mozilla Firefox ESR类型混淆漏洞、Mozilla Firefox内存错误引用漏洞(CNVD-2019-17486)、Mozilla Firefox命令执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens Siveillance VMS是一套监控视频管理软件。LOGO!8是西门子第8代智能逻辑控制器,是西门子PLC家族里的Nano PLC,它简化了编程组态,集成的面板可显示更多的内容,并可通过集成的以太网接口轻松组网高效互联。Siemens LOGO! Soft Comfort是一个工程软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过安全限制,获取系统的未授权访问权限,导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括:Google Chrome Swiftshader缓冲区溢出漏洞(CNVD-2019-17139)、Google Chrome Download Manager内存错误引用漏洞、Google Chrome Blink安全绕过漏洞(CNVD-2019-17513)、Google Chrome安全绕过漏洞(CNVD-2019-17515)、Google Chrome Extensions安全绕过漏洞(CNVD-2019-17514)、Google Chrome敏感信息泄露漏洞(CNVD-2019-17516)、Google Chrome V8安全绕过漏洞、Google Chrome安全绕过漏洞(CNVD-2019-17517)。其中,“Google Chrome DownloadManager内存错误引用漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,造成内存破坏。

CNVD收录的相关漏洞包括:Microsoft Edge和ChakraCore缓冲区溢出漏洞(CNVD-2019-16511)、Microsoft Windows GDI远程代码执行漏洞(CNVD-2019-16510)、Microsoft ChakraCore和Microsoft Edge远程代码执行漏洞(CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748)、Microsoft Edge远程代码执行漏洞(CNVD-2019-16747)、Microsoft Edge和ChakraCore远程代码执行漏洞(CNVD-2019-16749)、多款Microsoft产品远程代码执行漏洞(CNVD-2019-16750)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Jet Database Engine是其中的一个数据库引擎。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft InternetExplorer是一款Windows操作系统附带的Web浏览器。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞绕过NTLM MIC保护,执行任意代码,造成内存破坏等。

CNVD收录的相关漏洞包括:Microsoft Windows NTLM篡改安全绕过漏洞、Microsoft Windows Jet Database Engine缓冲区溢出漏洞(CNVD-2019-17523、CNVD-2019-17525、CNVD-2019-17524)、Microsoft InternetExplorer VBScript Engine远程代码执行漏洞、Microsoft InternetExplorer远程代码执行漏洞(CNVD-2019-17527、CNVD-2019-17528)、Microsoft Edge和Internet Explorer缓冲区溢出漏洞(CNVD-2019-17529)。其中,除“Microsoft Windows NTLM篡改安全绕过漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

D-Link DIR-818LW命令注入漏洞

D-Link DIR-818LW是一款无线路由器。D-Link DIR-818LW被披露存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

小结

上周,Mozilla被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,执行任意代码,发起拒绝服务攻击等。此外,Siemens、Google、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,绕过安全限制,获取系统的未授权访问权限,执行任意代码,造成内存破坏等。D-Link DIR-818LW被披露存在命令注入漏洞。攻击者可利用该漏洞执行非法命令。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。


公众号
公众号
公众号
公众号

©2015-2019北京蓝军网安科技发展有限责任公司版权所有

京ICP备19048154号服务支持:北京小鱼在线