國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞316個,互聯網上出現“WordPress CRUDLab WP LikeButton插件身份驗證漏洞、D-Link DIR-818LW命令注入漏洞(CNVD-2019-22213)”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞,告警重要漏洞并推出技術觀瀾,深入探討信息安全知識。
一周行業要聞速覽
個人信息在系統中的展示限制
當前對個人信息保護的力度越來越強,從法律法規、行業監管、標準與規范等方面都有相應的要求,本文主要從展示限制的角度闡述對個人信息保護的相關要求和措施。>>詳細
國家密碼管理局發布13項密碼行業標準
2019年7月12日,國家密碼管理局發布《商用密碼產品生產和保障能力建設規范》等13項密碼行業標準。>>詳細
工信部部署電信和互聯網行業提升網絡數據安全保護能力專項行動工作
會上,網絡安全管理局對《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》進行了解讀。>>詳細
CFCA出席密碼測評學術會議 分享金融領域密碼測評技術經驗
2019年7月11日,由中國密碼學會密碼測評專業委員會主辦的“2019中國密碼學會密碼測評學術會議”在內蒙古呼和浩特市召開,會議聚焦密碼測評技術研究與工程應用最新成果,吸引了眾多國內外密碼測評領域的學者專家、行業精英、在校師生和工程技術人員到場交流,探討密碼測評研究領域最新成果和發展趨勢。>>詳細
【圖說】關注支付安全 這些套路要小心!
一是不要輕信任何套取個人信息的電話、短信或廣告。二是不要將卡號、密碼、身份證號等信息輕易透露給他人。三是對于銀行卡使用中不清楚的事項,應向發卡銀行專門機構咨詢,發現銀行卡遺失或密碼錯誤應及時辦理掛失手續。>>詳細
建立匹配新時代科技生態的信息安全防護能力——訪招商銀行信息技術部副總經理賈俊剛
從威脅角度分析,要重點關注網絡安全、數據安全、業務安全及新技術安全相關的新型安全風險,及其在內容范圍、技術熱點及管理方法上的變革態勢。>>詳細
技術觀瀾
密碼技術之數字簽名
數字簽名用一句話來說,只有用你自己獨一無二的別人不知道的密鑰簽名,代表了一種只有持有該密鑰的人才能夠生成的信息,才能防抵賴。>>詳細
安全威脅播報
上周漏洞基本情況
上周(2019年7月8日-14日)信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集、整理信息安全漏洞316個,其中高危漏洞123個、中危漏洞170個、低危漏洞23個。漏洞平均分值為6.42。上周收錄的漏洞中,涉及0day漏洞157個(占50%),其中互聯網上出現“WordPress CRUDLab WP LikeButton插件身份驗證漏洞、D-Link DIR-818LW命令注入漏洞(CNVD-2019-22213)”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
Microsoft產品安全漏洞
Microsoft .NET Framework是一種全面且一致的編程模型,也是一個用于構建Windows、WindowsStore、Windows Phone、WindowsServer和Microsoft Azure的應用程序的開發平臺。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Exchange Server是一套電子郵件服務程序。上周,上述產品被披露存在提權和拒絕服務漏洞,攻擊者可利用漏洞提升權限,執行任意代碼或造成拒絕服務。
CNVD收錄的相關漏洞包括:Microsoft .NET Framework拒絕服務漏洞(CNVD-2019-22203)、Microsoft Windows提權漏洞(CNVD-2019-22215、CNVD-2019-22217、CNVD-2019-22218)、Microsoft Windows AudioService提權漏洞、Microsoft Windows Kernel提權漏洞(CNVD-2019-22219、CNVD-2019-22222)、Microsoft win32k提權漏洞。其中,除“Microsoft .NET Framework拒絕服務漏洞(CNVD-2019-22203)、Microsoft Windows提權漏洞(CNVD-2019-22217、CNVD-2019-22218)”外,其余漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Foxit產品安全漏洞
Foxit PDF SDK ActiveX是一個PDF軟件開發工具包,也是一個可視化編程組件。Foxit PhantomPDF是一款多功能PDF編輯器。Foxit Reader是一款PDF文檔閱讀器。上周,該產品被披露存在多個漏洞,攻擊者可利用漏洞執行任意代碼。
CNVD收錄的相關漏洞包括:Foxit PDF SDK ActiveX資源管理錯誤漏洞(CNVD-2019-21956)、Foxit Reader AcroForm內存錯誤引用漏洞、Foxit PhantomPDF Calculate內存錯誤引用漏洞、Foxit Reader Text removeField遠程代碼執行漏洞漏洞、Foxit Reader AcroForm exportValues遠程代碼執行漏洞、Foxit PhantomPDF addWatermarkFromText遠程代碼執行漏洞、Foxit PhantomPDF Button Calculate遠程代碼執行漏洞、Foxit Reader XFA Form遠程代碼執行漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Apple產品安全漏洞
Apple iCloud for Windows是一款基于Windows平臺的云服務,它支持存儲音樂、照片、App和聯系人等。Apple macOS Mojave是一套專為Mac計算機所開發的專用操作系統。Apple Safari是一款Web瀏覽器,是MacOSX和iOS操作系統附帶的默認瀏覽器。Apple iOS是為移動設備所開發的一套操作系統。Apple tvOS是一套智能電視操作系統。WebKit是其中的一個Web瀏覽器引擎組件。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞執行未授權訪問,獲取提升的權限,執行任意代碼,造成應用程序意外終止(內存破壞)。
CNVD收錄的相關漏洞包括:Apple iCloud for Windows競爭條件漏洞、Apple macOS Mojave Security內存錯誤引用漏洞、Apple macOS Mojave QuartzCore內存破壞漏洞、多款Apple產品WebKit內存破壞漏洞(CNVD-2019-21981)、多款Apple產品WebKit類型混淆漏洞(CNVD-2019-21983)、Apple iOS Safari未授權訪問漏洞、Apple tvOS和Apple iOS GeoServices內存破壞漏洞、Apple iOS、tvOS和macOS Mojave Kernel邏輯漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Adobe產品安全漏洞
Adobe Reader(也被稱為Acrobat Reader)是一款PDF文件閱讀軟件。Adobe Acrobat是一款PDF編輯軟件。上周,該產品被披露存在越界寫入漏洞,攻擊者可利用漏洞執行任意代碼。
CNVD收錄的相關漏洞包括:Adobe Acrobat/Reader越界寫入漏洞(CNVD-2019-22469、CNVD-2019-22468、CNVD-2019-22470、CNVD-2019-22471、CNVD-2019-22472、CNVD-2019-22473、CNVD-2019-22474、CNVD-2019-22475)。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Redis未授權訪問漏洞(CNVD-2019-21763)
Redis是一個開源的使用ANSI C語言編寫,支持網絡,可基于內存亦可持久化的日志型,Key-Value數據庫,并提供多種語言的API。Redis被披露存在未授權訪問漏洞。攻擊者可利用該漏洞在未授權訪問Redis的情況下執行任意代碼,獲取目標服務器權限。
小結
上周,Microsoft被披露存在提權和拒絕服務漏洞,攻擊者可利用漏洞提升權限,執行任意代碼或造成拒絕服務。此外,Foxit、Apple、Adobe等多款產品被披露存在多個漏洞,攻擊者可利用漏洞執行未授權訪問,獲取提升的權限,執行任意代碼,造成應用程序意外終止(內存破壞)。Redis被披露存在未授權訪問漏洞。攻擊者可利用該漏洞在未授權訪問Redis的情況下執行任意代碼,獲取目標服務器權限。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
中國電子銀行網綜合CNVD、中國證券網、金融電子化、國家密碼管理局、中國支付清算協會、安智客報道
責任編輯:韓希宇
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。