国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞369个,互联网上出现“Anchor CMS存储型跨站脚本漏洞、BigTree CMS远程执行代码漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
通过!《贵州省政府数据共享开放条例》今年12月1日起施行(附全文)
《贵州省政府数据共享开放条例》已于2020年9月25日经贵州省第十三届人民代表大会常务委员会第十九次会议通过,现予公布,自2020年12月1日起施行。>>详细
新规出台,“大数据杀熟”能被“反杀”吗?
新规能否遏制“大数据杀熟”,多位专家认为,“向前迈了一步”的同时还需要看其落实情况。>>详细
“互联网精准营销下的用户个人信息保护研讨会”在京举办
我们应该正确看待互联网精准广告,通过落地一些措施,既让用户享受到个性化服务,又促进了产业的发展,激发了市场活力,在保障消费者隐私数据安全的前提下实现产业发展。>>详细
2020年上半年我国互联网网络安全监测数据分析报告
2020年上半年,捕获计算机恶意程序样本数量约1,815万个,日均传播次数达483万余次,涉及计算机恶意程序家族约1.1万余个。>>详细
通关篇│移动金融APP,你备案了吗?
目前,CFCA已助力工商银行、建设银行、民生银行、平安口袋银行、安徽农金、安国保险、陕国投信托、陆家嘴国际信托、兴业消金、陆金所、融360等数百家机构APP备案检测工作。>>详细
银行履行反洗钱义务仍须保护个人信息
即使是在反洗钱工作上,人民银行和银保监会也都禁止银行向第三方公开因履行反洗钱义务而获得的客户身份及交易信息。>>详细
CFCA联盟链荣获“2020区块链技术与应用创新成果”奖
联盟链具有防篡改、抗抵赖、隐私保护、取证快、安全性高、自主可控、简单易用的优势,且充分考虑银行实际业务需求,与各行业合作伙伴(如公证处、仲裁委、司法鉴定中心等)相互合作。>>详细
防范 | 电信诈骗套路深,你可千万别当真
世上没有免费的午餐,天上不会掉馅饼。>>详细
安全威胁播报
上周漏洞基本情况
上周(9月21日-27日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞369个,其中高危漏洞68个、中危漏洞239个、低危漏洞62个。漏洞平均分值为5.21。上周收录的漏洞中,涉及0day漏洞109个(占30%),其中互联网上出现“Anchor CMS存储型跨站脚本漏洞、BigTree CMS远程执行代码漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Microsoft产品安全漏洞
Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞以提升的权限执行代码。
CNVD收录的相关漏洞包括:Microsoft Windows PrintWorkflow Service权限提升漏洞、Microsoft Windows ErrorReporting Manager权限提升漏洞(CNVD-2020-52921)、Microsoft Windows Network Location Awareness Service权限提升漏洞、Microsoft Windows Sync Host Service权限提升漏洞、Microsoft Windows UPnP权限提升漏洞、Microsoft Windows ActiveX Installer Service权限提升漏洞(CNVD-2020-52928)、Microsoft Windows AppXDeployment Extensions权限提升漏洞、Microsoft Windows FunctionDiscovery Service权限提升漏洞。其中,“Microsoft Windows ErrorReporting Manager权限提升漏洞(CNVD-2020-52921)、Microsoft Windows ActiveX Installer Service权限提升漏洞(CNVD-2020-52928)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Atlassian产品安全漏洞
Atlassian JIRA Server是一套缺陷跟踪管理系统的服务器版本。Atlassian JIRA Data Center是AtlassianJIRA的数据中心版本。Atlassian ConfluenceServer是澳大利亚Atlassian公司的一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。Atlassian Fisheye是一套源代码深度查看软件。Crucible是一套代码审查工具。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行未授权的操作,获取敏感信息,注入任意HTML或JavaScript,发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:Atlassian Jira信息泄露漏洞(CNVD-2020-52940)、Atlassian JIRA Server和Data Center跨站请求伪造漏洞、Atlassian ConfluenceServer跨站脚本漏洞(CNVD-2020-52943)、Atlassian Fisheye和Crucible未授权操作漏洞、Atlassian JIRA Server和DataCenter注入漏洞、Atlassian JIRA Server和Data Center拒绝服务漏洞(CNVD-2020-53361)、Atlassian JIRA Server和DataCenter跨站脚本漏洞(CNVD-2020-53363、CNVD-2020-53362)。其中,“Atlassian JIRA Server和Data Center注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限。
CNVD收录的相关漏洞包括:Google Android Telephony权限提升漏洞(CNVD-2020-53138)、Google Android权限提升漏洞(CNVD-2020-53763、CNVD-2020-53768、CNVD-2020-53769、CNVD-2020-53774、CNVD-2020-53775)、Google Android Kernel组件权限提升漏洞(CNVD-2020-54064)、Google Android Framework权限提升漏洞(CNVD-2020-54072)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
McAfee产品安全漏洞
McAfee Agent(MA)是一套提供了ePolicy Orchestrator(杀毒软件管理平台)与被管理产品之间的安全通信的客户端组件。McAfee Host Intrusion Prevention System(Host IPS)是一套主机入侵防御系统。McAfee Total Protection(MTP)是一套防病毒软件。McAfee Email Gateway(MEG)是一套电子邮件安全解决方案。McAfee VirusScan Enterprise(VSE)是一套杀毒软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞未授权删除文件,执行任意代码等。
CNVD收录的相关漏洞包括:McAfee Agent代码问题漏洞、McAfee Host Intrusion Prevention System代码问题漏洞、McAfee VirusScan Enterprise权限许可和访问控制问题漏洞、McAfee Total Protection权限提升漏洞(CNVD-2020-53311、CNVD-2020-54153)、McAfee Email Gateway路径遍历漏洞、McAfee Total Protection MTP Free Antivirus Trial代码问题漏洞、McAfee Agent权限提升漏洞。其中“McAfee VirusScanEnterprise权限许可和访问控制问题漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
3S-Smart Software Solutions CODESYS Runtime远程代码执行漏洞
3S-Smart Software Solutions CODESYS Runtime是一套基于IEC61131-3标准编程的控制器实时运行系统。上周,3S-Smart SoftwareSolutions CODESYS Runtime被披露存在远程代码执行漏洞。攻击者可通过发送恶意的数据包利用该漏洞执行代码。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Microsoft产品被披露存在权限提升漏洞,攻击者可利用漏洞以提升的权限执行代码。此外,Atlassian、Google、McAfee等多款产品被披露存在多个漏洞,攻击者可利用漏洞执行未授权的操作,获取敏感信息,提升权限,执行任意代码,发起拒绝服务攻击等。另外,3S-Smart Software Solutions CODESYS Runtime被披露存在远程代码执行漏洞。攻击者可通过发送恶意的数据包利用该漏洞执行代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、贵州省人民代表大会常务委员会、中国互联网协会、国家互联网应急中心CNCERT、新华网、第一财经日报、交通银行报道
