國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞420個,互聯網上出現“WordPress Modern Events Calendar遠程代碼執行漏洞、ToaruOS權限提升漏洞”等零日代碼攻擊漏洞,上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞,深入探討信息安全知識。
一周行業要聞速覽
數據治理與網絡安全齊頭并進:烏鎮大會背后的互聯網行業嬗變
相較于以往對于前沿技術的推陳出新,今年的互聯網大會更加聚焦于數據治理與網絡安全。在各類新興技術和場景里,安全和文明成為基礎色。>>詳細
提高網絡安全防范意識 加強個人金融信息保護 上海銀行主辦網絡安全日宣傳活動
活動現場通過以案說險、知識競答互動、擺放展板、發放宣傳手冊以及播放宣傳視頻等多種形式開展網絡安全宣傳。>>詳細
金融科技產品認證目錄即將上新,請簽收區塊鏈產品檢測buff!
2021年9月,招商銀行區塊鏈產品“招商銀行一鏈通”獲得了中國金融認證中心(CFCA)區塊鏈產品檢測報告,招商銀行成為第一家區塊鏈產品完成CFCA檢測的銀行!>>詳細
【高發??!】請警惕“刷單返利“類電信詐騙
不法分子往往會瞄準學生、上班族及全職媽媽群體,利用他們想要輕松又想要賺快錢的心理,誘惑他們主動聯系不法分子,從而實施以刷單返利為由的詐騙!>>詳細
以案說險·教您防范電信網絡詐騙之謹防“網絡刷單”騙局
青少年消費者要警惕不明鏈接,養成良好的消費習慣,增強風險防范意識,如遇詐騙事件,及時向家人、老師或公安機關等尋求幫助,保護好自身的合法權益。>>詳細
CFCA鑒印平臺:打通內外多方簽署壁壘 直擊電子簽約合規痛點
鑒印平臺作為一個本地部署的綜合簽約服務平臺,打通內外多方簽署壁壘,實現數字證書、簽署文件自主可控,部署一次即可實現未來海量簽署,是助力企事業單位合規安全、降本增效的首選。>>詳細
我們在行動 | 電信網絡詐騙如何防范篇
不向他人隨意透露銀行卡號、賬戶密碼、有效期、安全碼、身份證號、短信驗證碼等重要信息。>>詳細
普及|信用卡防盜刷小妙招~
持卡人未及時采取掛失措施防止損失擴大,發卡行主張持卡人自行承擔擴大損失責任的,人民法院應予支持。>>詳細
安全威脅播報
上周漏洞基本情況
上周(2021年9月20日-26日)信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺(以下簡稱CNVD)上周共收集、整理信息安全漏洞420個,其中高危漏洞128個、中危漏洞253個、低危漏洞39個。漏洞平均分值為5.79。上周收錄的漏洞中,涉及0day漏洞314個(占75%),其中互聯網上出現“WordPress Modern Events Calendar遠程代碼執行漏洞、ToaruOS權限提升漏洞”等零日代碼攻擊漏洞。
上周重要漏洞安全告警
Google產品安全漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,繞過安全限制,在系統上執行任意代碼或造成拒絕服務。
CNVD收錄的相關漏洞包括:Google Chrome libjpeg-turbo信息泄露漏洞、Google Chrome Background Fetch API安全繞過漏洞、Google Chrome Blink graphics安全繞過漏洞、Google Chrome Tab Strip代碼執行漏洞、Google Chrome Performance Manager代碼執行漏洞、Google Chrome Offline代碼執行漏洞、Google Chrome WebGPU代碼執行漏洞、Google Chrome Navigation安全繞過漏洞。上述漏洞的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Adobe產品安全漏洞
Adobe FrameMaker是一款文檔處理程序,用于編寫和編輯包括結構化文檔在內的大型或復雜文檔。上周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞讀取任意文件系統,執行任意代碼。
CNVD收錄的相關漏洞包括:Adobe Framemaker越界寫入漏洞(CNVD-2021-73434)、Adobe Framemaker內存越界訪問漏洞(CNVD-2021-73437、CNVD-2021-73436)、Adobe Framemaker越界寫入漏洞(CNVD-2021-73435)、Adobe Framemaker釋放后重用漏洞、Adobe Framemaker越界讀取漏洞(CNVD-2021-73440、CNVD-2021-73439、CNVD-2021-73438)。其中,“Adobe Framemaker越界寫入漏洞(CNVD-2021-73434)、Adobe Framemaker內存越界訪問漏洞(CNVD-2021-73437、CNVD-2021-73436)、Adobe Framemaker越界寫入漏洞(CNVD-2021-73435)” 的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Microsoft產品安全漏洞
Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周,上述產品被披露存在權限提升漏洞,攻擊者可利用漏洞以提升的權限運行任意代碼,從而可安裝程序,查看、更改或刪除數據,或創建具有完全用戶權限的新帳戶。
CNVD收錄的相關漏洞包括:Microsoft Windows和Windows Server權限提升漏洞(CNVD-2021-73129、CNVD-2021-73128、CNVD-2021-73127、CNVD-2021-73132、CNVD-2021-73131、CNVD-2021-73130、CNVD-2021-73134、CNVD-2021-73133)。其中,“Microsoft Windows和Windows Server權限提升漏洞(CNVD-2021-73130、CNVD-2021-73134、CNVD-2021-73133)”的綜合評級為“高?!?。目前,廠商已經發布了上述漏洞的修補程序。
Tuxera產品安全漏洞
Tuxera NTFS-3G是芬蘭Tuxera公司的一套開源的、跨平臺的用于支持NTFS分區讀寫的驅動程序。上周,上述產品被披露存在緩沖區溢出漏洞,攻擊者可利用漏洞導致緩沖區溢出,從而允許執行代碼和提升權限等。
CNVD收錄的相關漏洞包括:Tuxera NTFS-3G緩沖區溢出漏洞(CNVD-2021-72267、CNVD-2021-72266、CNVD-2021-72269、CNVD-2021-72268、CNVD-2021-72271、CNVD-2021-72272、CNVD-2021-72273、CNVD-2021-72275)。目前,廠商已經發布了上述漏洞的修補程序。
Totolink A720R堆棧溢出漏洞
Totolink A720R是中國臺灣吉翁電子(Totolink)公司的一款無線路由器。上周,Totolink A720R被披露存在堆棧溢出漏洞。該漏洞源于軟件中的checkLoginUser函數對數據的錯誤處理,攻擊者可利用該漏洞造成拒絕服務(DOS)。目前,廠商尚未發布上述漏洞的修補程序。
小結
上周,Google產品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,繞過安全限制,在系統上執行任意代碼或造成拒絕服務。此外,Adobe、Microsoft、Tuxera等多款產品被披露存在多個漏洞,攻擊者可利用漏洞讀取任意文件系統,導致緩沖區溢出,執行任意代碼,提升權限等。另外,Totolink A720R被披露存在堆棧溢出漏洞。攻擊者可利用該漏洞造成拒絕服務(DOS)。建議相關用戶隨時關注上述廠商主頁,及時獲取修復補丁或解決方案。
中國電子銀行網綜合CNVD、21世紀經濟報道、中國郵政儲蓄銀行、中國民生銀行、平安銀行、上銀微動態、廣東農信報道
責任編輯:韓希宇
免責聲明:
中國電子銀行網發布的專欄、投稿以及征文相關文章,其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方;如涉及未經許可使用作品的問題,請您優先聯系我們(聯系郵箱:cebnet@cfca.com.cn,電話:400-880-9888),我們會第一時間核實,謝謝配合。