密码行业标准发布 银行信息安全防护能力提升之策
发布时间 2020-09-04 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞316个,互联网上出现“WordPress CRUDLab WP LikeButton插件身份验证漏洞、D-Link DIR-818LW命令注入漏洞(CNVD-2019-22213)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞316个,互联网上出现“WordPress CRUDLab WP LikeButton插件身份验证漏洞、D-Link DIR-818LW命令注入漏洞(CNVD-2019-22213)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
个人信息在系统中的展示限制
当前对个人信息保护的力度越来越强,从法律法规、行业监管、标准与规范等方面都有相应的要求,本文主要从展示限制的角度阐述对个人信息保护的相关要求和措施。>>详细
国家密码管理局发布13项密码行业标准
2019年7月12日,国家密码管理局发布《商用密码产品生产和保障能力建设规范》等13项密码行业标准。
工信部部署电信和互联网行业提升网络数据安全保护能力专项行动工作
会上,网络安全管理局对《电信和互联网行业提升网络数据安全保护能力专项行动方案》进行了解读。
CFCA出席密码测评学术会议 分享金融领域密码测评技术经验
2019年7月11日,由中国密码学会密码测评专业委员会主办的“2019中国密码学会密码测评学术会议”在内蒙古呼和浩特市召开,会议聚焦密码测评技术研究与工程应用最新成果,吸引了众多国内外密码测评领域的学者专家、行业精英、在校师生和工程技术人员到场交流,探讨密码测评研究领域最新成果和发展趋势。
【图说】关注支付安全 这些套路要小心!
一是不要轻信任何套取个人信息的电话、短信或广告。二是不要将卡号、密码、身份证号等信息轻易透露给他人。三是对于银行卡使用中不清楚的事项,应向发卡银行专门机构咨询,发现银行卡遗失或密码错误应及时办理挂失手续。
建立匹配新时代科技生态的信息安全防护能力——访招商银行信息技术部副总经理贾俊刚
从威胁角度分析,要重点关注网络安全、数据安全、业务安全及新技术安全相关的新型安全风险,及其在内容范围、技术热点及管理方法上的变革态势。
技术观澜
密码技术之数字签名
数字签名用一句话来说,只有用你自己独一无二的别人不知道的密钥签名,代表了一种只有持有该密钥的人才能够生成的信息,才能防抵赖。
安全威胁播报
上周漏洞基本情况
上周(2019年7月8日-14日)信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞316个,其中高危漏洞123个、中危漏洞170个、低危漏洞23个。漏洞平均分值为6.42。上周收录的漏洞中,涉及0day漏洞157个(占50%),其中互联网上出现“WordPress CRUDLab WP LikeButton插件身份验证漏洞、D-Link DIR-818LW命令注入漏洞(CNVD-2019-22213)”等零日代码攻击漏洞。
上周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft .NET Framework是一种全面且一致的编程模型,也是一个用于构建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的应用程序的开发平台。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Exchange Server是一套电子邮件服务程序。上周,上述产品被披露存在提权和拒绝服务漏洞,攻击者可利用漏洞提升权限,执行任意代码或造成拒绝服务。
CNVD收录的相关漏洞包括:Microsoft .NET Framework拒绝服务漏洞(CNVD-2019-22203)、Microsoft Windows提权漏洞(CNVD-2019-22215、CNVD-2019-22217、CNVD-2019-22218)、Microsoft Windows AudioService提权漏洞、Microsoft Windows Kernel提权漏洞(CNVD-2019-22219、CNVD-2019-22222)、Microsoft win32k提权漏洞。其中,除“Microsoft .NET Framework拒绝服务漏洞(CNVD-2019-22203)、Microsoft Windows提权漏洞(CNVD-2019-22217、CNVD-2019-22218)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Foxit产品安全漏洞
Foxit PDF SDK ActiveX是一个PDF软件开发工具包,也是一个可视化编程组件。Foxit PhantomPDF是一款多功能PDF编辑器。Foxit Reader是一款PDF文档阅读器。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Foxit PDF SDK ActiveX资源管理错误漏洞(CNVD-2019-21956)、Foxit Reader AcroForm内存错误引用漏洞、Foxit PhantomPDF Calculate内存错误引用漏洞、Foxit Reader Text removeField远程代码执行漏洞漏洞、Foxit Reader AcroForm exportValues远程代码执行漏洞、Foxit PhantomPDF addWatermarkFromText远程代码执行漏洞、Foxit PhantomPDF Button Calculate远程代码执行漏洞、Foxit Reader XFA Form远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
Apple iCloud for Windows是一款基于Windows平台的云服务,它支持存储音乐、照片、App和联系人等。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple Safari是一款Web浏览器,是MacOSX和iOS操作系统附带的默认浏览器。Apple iOS是为移动设备所开发的一套操作系统。Apple tvOS是一套智能电视操作系统。WebKit是其中的一个Web浏览器引擎组件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行未授权访问,获取提升的权限,执行任意代码,造成应用程序意外终止(内存破坏)。
CNVD收录的相关漏洞包括:Apple iCloud for Windows竞争条件漏洞、Apple macOS Mojave Security内存错误引用漏洞、Apple macOS Mojave QuartzCore内存破坏漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-21981)、多款Apple产品WebKit类型混淆漏洞(CNVD-2019-21983)、Apple iOS Safari未授权访问漏洞、Apple tvOS和Apple iOS GeoServices内存破坏漏洞、Apple iOS、tvOS和macOS Mojave Kernel逻辑漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Adobe产品安全漏洞
Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Acrobat是一款PDF编辑软件。上周,该产品被披露存在越界写入漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Adobe Acrobat/Reader越界写入漏洞(CNVD-2019-22469、CNVD-2019-22468、CNVD-2019-22470、CNVD-2019-22471、CNVD-2019-22472、CNVD-2019-22473、CNVD-2019-22474、CNVD-2019-22475)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Redis未授权访问漏洞(CNVD-2019-21763)
Redis是一个开源的使用ANSI C语言编写,支持网络,可基于内存亦可持久化的日志型,Key-Value数据库,并提供多种语言的API。Redis被披露存在未授权访问漏洞。攻击者可利用该漏洞在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。
小结
上周,Microsoft被披露存在提权和拒绝服务漏洞,攻击者可利用漏洞提升权限,执行任意代码或造成拒绝服务。此外,Foxit、Apple、Adobe等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行未授权访问,获取提升的权限,执行任意代码,造成应用程序意外终止(内存破坏)。Redis被披露存在未授权访问漏洞。攻击者可利用该漏洞在未授权访问Redis的情况下执行任意代码,获取目标服务器权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
©2015-2024北京蓝军网安(集团)科技发展有限责任公司版权所有
©2015-2024北京蓝军网安(集团)科技发展有限责任公司版权所有
京ICP备19048154号-1服务支持:北京小鱼在线