国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞301个,互联网上出现“Travel Management System SQL注入漏洞、OpenEMR 'controller'远程代码执行漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。金融科技时代网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
护航个人信息进行时|机制先行 标准指引 App专项治理为个人信息保护“拧紧阀门”
App专项治理工作组成立以来,围绕着专项治理的行动要求,从推动App违法违规收集使用个人信息评估工作、引导App运营者严格依法履行个人信息保护义务两个方面展开工作。>>详细
工信部印发《关于运用大数据推进防范治理电信网络诈骗长效机制建设工作方案》
在技术平台方面,《方案》提出打造信息通信行业反诈大数据技术手段,持续提升大数据技术管控水平。>>详细
数据安全法草案征求意见结束:行业如何识别管理“重要数据”
重要数据若交由各地自行决定,可能导致不当扩大或缩小重要数据范围,还可能导致数据跨地区流动和处理,引发法律规避。>>详细
周鸿祎再揭手机“偷听”现象 信息安全亟待完善
周鸿祎称,有的手机软件会打开用户摄像头或麦克风偷偷录音,从中找关键词试图匹配用户明天的兴趣爱好。他称自己也遇到过类似情况,但不指名字了。>>详细
保险“掌上办”,如何让业务更安全?用户更放心?
对于保险行业来说,业务所涉及的核心场景包括用户资料核保审核、保单签署、保费缴纳、电子化回访、快速理赔等,每一环都需要配置相应的“功能”以规避风险。>>详细
线上银行业务洗钱典型案例分析
为推动行业反洗钱工作经验交流,协会面向会员单位征集反洗钱实践案例,银行、保险、消费金融、第三方支付、金融科技等领域的会员积极投稿,较好反映了互联网金融领域反洗钱工作取得的新成果。>>详细
评论丨以构建数据安全标准体系为契机,推动数字经济全球化
《指南》涉及基础共性标准、关键技术标准、安全管理标准和重点领域标准四大方面,其中基础共性标准提供了中国整个数据体系的基础性、通用性框架。>>详细
中国网络空间安全协会理事长王秀军出席第八届互联网安全大会并致辞
伴随信息技术的快速发展,网络空间与现实世界深度融合,全球各国对于网络的依赖不断加深,作为人类共同的活动空间,网络空间正逐步成为人类生产生活的重要场所。>>详细
安全威胁播报
上周漏洞基本情况
上周(8月10日-16日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞301个,其中高危漏洞124个、中危漏洞158个、低危漏洞19个。漏洞平均分值为6.27。上周收录的漏洞中,涉及0day漏洞176个(占58%),其中互联网上出现“Travel Management System SQL注入漏洞、OpenEMR 'controller'远程代码执行漏洞”等零日代码攻击漏洞。
上周重要漏洞安全告警
Adobe产品安全漏洞
Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。Adobe Acrobat是一款PDF编辑软件。上周,上述产品被披露存在越界读取漏洞,攻击者可利用漏洞获取信息。
CNVD收录的相关漏洞包括:Adobe Acrobat/Reader越界读取漏洞(CNVD-2020-46036、CNVD-2020-46035、CNVD-2020-46039、CNVD-2020-46038、CNVD-2020-46037、CNVD-2020-46041、CNVD-2020-46040、CNVD-2020-46043)。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Excel是一款Office套件中的电子表格处理软件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Windows ALPC权限提升漏洞、Microsoft Excel缓冲区溢出漏洞(CNVD-2020-45184)、Microsoft Hyper-V RemoteFX vGPU缓冲区溢出漏洞(CNVD-2020-45325、CNVD-2020-45324、CNVD-2020-45323)、Microsoft Windows Hyper-VRemoteFX vGPU输入验证错误漏洞、Microsoft Windows Hyper-VRemoteFX vGPU远程代码执行漏洞、Microsoft Hyper-V RemoteFXvGPU资源管理错误漏洞。其中,除“Microsoft Windows ALPC权限提升漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,提升权限,执行代码,造成拒绝服务。
CNVD收录的相关漏洞包括:Google Android MediaFramework权限提升漏洞(CNVD-2020-46237)、Google Android Framework缓冲区溢出漏洞(CNVD-2020-46263)、Google Android MediaFramework信息泄露漏洞(CNVD-2020-46266、CNVD-2020-46265)、Google Android MediaFramework资源管理错误漏洞(CNVD-2020-46264)、Google Android Media Framework缓冲区溢出漏洞(CNVD-2020-46267)、Google Android MediaFramework拒绝服务漏洞(CNVD-2020-46272)、Google Android Framework越界读取漏洞。其中,“Google Android Media Framework权限提升漏洞(CNVD-2020-46237)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apache产品安全漏洞
Apache Tomcat是一款轻量级Web应用服务器。Apache HTTP Server是一款开源网页服务器。Struts2 是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,执行任意代码,造成拒绝服务(无限循环)等。
CNVD收录的相关漏洞包括:Apache Struts2 S2-059远程代码执行漏洞、Apache Struts2 S2-060拒绝服务漏洞、Apache Tomcat资源管理错误漏洞(CNVD-2020-46233)、Apache Tomcat代码问题漏洞、Apache Tomcat拒绝服务漏洞(CNVD-2020-46230)、Apache HTTP Server数据伪造问题漏洞、Apache HTTP Server环境问题漏洞、Apache HTTP Server缓冲区溢出漏洞。其中,“Apache Struts2 S2-059远程代码执行漏洞、Apache Struts2 S2-060拒绝服务漏洞、Apache HTTP Server缓冲区溢出漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Cisco 7947G权限提升漏洞
Cisco 7947G是美国思科(Cisco)公司的一款在线会议终端设备。上周,Cisco 7947G被披露存在权限提升漏洞。攻击者可利用该漏洞提升权限。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,Adobe产品被披露存在越界读取漏洞,攻击者可利用漏洞获取信息。此外,Microsoft、Google、Apache等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,提升权限,执行代码,造成拒绝服务(无限循环)等。另外,Cisco 7947G被披露存在权限提升漏洞。攻击者可利用该漏洞提升权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
金融科技时代网综合CNVD、工信部、网信中国、中国互联网金融协会、21世纪经济报道、第一财经报道
