(原标题:信息安全周报|数字人民币交易数据均加密存储 银行内部严管个人敏感数据使用)
国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞508个,互联网上出现“BloofoxCms SQL注入漏洞、ZZCMS跨站脚本漏洞(CNVD-2022-71404)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞,深入探讨信息安全知识。
一周行业要闻速览
易纲:数字人民币交易数据均加密存储,个人敏感信息匿名化处理
人民银行严格遵循消费者隐私保护相关法律法规,通过先进的技术手段和严格的管理机制确保个人信息安全。>>详细
银行落实《个人信息保护法》调查:内部严管个人敏感数据使用新型信贷服务模式应运而生
除了银行APP更新个人隐私政策——将与个人权益存在重大关系的条款和个人敏感信息获取范畴采用粗体字标注,并如实告知个人数据使用范畴,银行内部也采取多项措施持续规范客户数据使用。>>详细
反诈安全小课堂第五期-数字人民币类电信诈骗
新兴的数字形式法定货币,逐渐被大家熟知。但真正了解、熟练使用的人还不是很多。诈骗分子也是利用了这一点,在原有的套路上结合数字人民币“推陈出新”持续地进行电信诈骗。>>详细
【消保专栏】召唤师VS骗子联盟
电子竞技项目已成为亚洲运动会正式比赛项目,越来越多的人开始关注游戏关注电竞,骗子也开始盯上部分游戏玩家,伺机下套。>>详细
云上系统,如何落实等级保护安全要求?
目前越来越多的单位系统采用云上部署。云模式逐渐成为很多企业的重要选择,如何保证云上业务系统的安全,已经成为每一个上云企业必须面对的问题。>>详细
【反诈】先交钱,再贷款?小心有诈
为了获取更多利益,骗子会先将额度释放,但钱包里的资金不能提现,要求受害者再买保险等产品。此时,受害者才意识到被骗。>>详细
安全加码科技护航 I 指尖的数据护盾,手心的资金堡垒
增强系统敏感信息安全处理机制,精细化管理安全权限,融入大数据风控、态势感知、分散密钥、生物识别等技术,打造立体化数据金融交易验证体系。>>详细
老年人掉入诈骗陷阱丢失养老钱,这些个人信息您保护好了吗?
针对老年人的欺诈电话、产品推销、讲座送礼品、扫码领红包等诈骗形式,使很多老年人掉入诈骗陷阱,丢失了养老钱。>>详细
安全威胁播报
上周漏洞基本情况
上周(2022年10月24日-30日)信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞508个,其中高危漏洞222个、中危漏洞211个、低危漏洞75个。漏洞平均分值为6.08。上周收录的漏洞中,涉及0day漏洞346个(占68%),其中互联网上出现“BloofoxCms SQL注入漏洞、ZZCMS跨站脚本漏洞(CNVD-2022-71404)”等零日代码攻击漏洞。
上周重要漏洞安全告警
F5产品安全漏洞
F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。上周,上述产品被披露存在多个漏洞,攻击者可利用增加磁盘利用率,在BIG-IP系统上造成拒绝服务等。
CNVD收录的相关漏洞包括:F5 BIG-IP XML外部实体注入漏洞(CNVD-2022-70618)、F5 BIG-IP代码问题漏洞(CNVD-2022-70623)、F5 BIG-IP配置文件漏洞、F5 BIG-IP资源管理错误漏洞(CNVD-2022-70619、CNVD-2022-70626)、F5 BIG-IP AFM资源管理错误漏洞、F5 BIG-IP代码问题漏洞(CNVD-2022-70624、CNVD-2022-70627)。其中,“F5 BIG-IP代码问题漏洞(CNVD-2022-70627)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Google产品安全漏洞
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,造成拒绝服务。
CNVD收录的相关漏洞包括:Google Android信息泄露漏洞(CNVD-2022-71979、CNVD-2022-71980、CNVD-2022-71982、CNVD-2022-71985)、Google Android拒绝服务漏洞(CNVD-2022-71981)、Google Android代码执行漏洞(CNVD-2022-71983、CNVD-2022-71984、CNVD-2022-71986)。其中,除“Google Android拒绝服务漏洞(CNVD-2022-71981)、Google Android信息泄露漏洞(CNVD-2022-71985)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。Apple Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。Apple iOS是一套为移动设备所开发的操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,在目标系统上执行任意代码等。
CNVD收录的相关漏洞包括:Apple macOS Monterey缓冲区溢出漏洞(CNVD-2022-71990)、Apple macOS Safari缓冲区溢出漏洞、Apple macOS Monterey Spotlight权限许可和访问控制问题漏洞、Apple macOS Monterey缓冲区溢出漏洞、Apple iOS and iPadOS GPU驱动程序代码注入漏洞、Apple iOS and iPadOS GPU驱动程序缓冲区溢出漏洞、Apple iOS and iPadOS输入验证错误漏洞、Apple iOS and iPadOS WebKit缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Microsoft产品安全漏洞
Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows DNS Server是其中的一个DNS(域名系统)服务器。Microsoft Windows Cluster Shared Volume (CSV) 是美国微软(Microsoft)公司的一项功能。Microsoft HEVC Video Extensions是美国微软(Microsoft)公司的一个视频扩展应用程序。该应用使计算机和设备可以读取高效视频编码或HEVC视频。Microsoft Windows Defender是美国微软(Microsoft)公司的一套Windows系统附带的防病毒软件。Microsoft Windows Fax services是美国微软(Microsoft)公司的一个功能组件服务。用于指定传真的设置,包括如何发送,接收,查看和打印。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,造成拒绝服务。
CNVD收录的相关漏洞包括:Microsoft Windows DNS Server远程代码执行漏洞(CNVD-2022-71743、CNVD-2022-71975)、Microsoft Windows Cluster Shared Volume (CSV) 拒绝服务漏洞、Microsoft HEVC Video Extensions远程代码执行漏洞(CNVD-2022-71765)、Microsoft Windows Defender拒绝服务漏洞、Microsoft Windows DiskUsage.exe远程代码执行漏洞、Microsoft Windows DNS Server信息泄露漏洞、Microsoft Windows Fax Compose Form远程代码执行漏洞。其中,“Microsoft Windows DNS Server远程代码执行漏洞(CNVD-2022-71743、CNVD-2022-71975)、Microsoft HEVC Video Extensions远程代码执行漏洞(CNVD-2022-71765)”的综合评级为“高危”目前,厂商已经发布了上述漏洞的修补程序。
Avantune Genialcloud ProJ跨站脚本漏洞
Avantune Genialcloud ProJ是加拿大Avantune公司的一个基于云的ERP平台。上周,Avantune Genialcloud ProJ被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过精心设计的有效负载注入和执行任意Web脚本或HTML。目前,厂商尚未发布上述漏洞的修补程序。
小结
上周,F5产品被披露存在多个漏洞,攻击者可利用增加磁盘利用率,在BIG-IP系统上造成拒绝服务等。此外,Google、Apple、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,获取敏感信息,在系统上执行任意代码,造成拒绝服务等。另外,Avantune Genialcloud ProJ被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过精心设计的有效负载注入和执行任意Web脚本或HTML。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、21世纪经济报道、第一财经、中国农业银行微银行、中信银行、贵阳银行、山东全省农商银行报道
首页
微信公众号
证券之星APP
