國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞295個，互聯網上出現“OpenCart跨站腳本漏洞（CNVD-2020-75516）、IncomCMS文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國支付清算協會：安全隱患依舊是移動支付用戶擔心的首要問題

當前在監管和業界的努力下，移動支付在隱私保護已經取得了長足的進步。但在數據的保護、數據收集最小化、數據使用、數據的安全保存等方面仍然有待加強。>>詳細

個人信息過度采集有望改觀，央行新規明晰征信邊界

采集信息遵循“最少、必要”原則，征信業務管理辦法即將面世。>>詳細

銀行不良資產處置新政落地：個人不良批量轉讓試水 防止貸款人信息泄露

鑒于民法典的頒行和以及個人信息保護法正在制定，對于批量收購個人貸款的資產管理公司，不僅應承擔原合同約定的信息使用義務，還要依法采取必要保護措施，堅決防止發生個人信息泄露和非法使用的情形。>>詳細

如何防止銀行卡被盜刷

近期，四川省反詐騙中心揭露了“一元洗車”背后的盜刷陷阱。>>詳細

安全課堂 | 防范電信網絡詐騙小故事

世上沒有免費的午餐，對于犯罪分子實施的中獎詐騙、虛假辦理高息貸款或信用卡套現詐騙及虛假致富信息轉讓詐騙，不要輕信，一定要多了解和分析，以免上當受騙。>>詳細

安哥樂樂學消保｜四看三思等一夜 遠離非法集資要牢記

不要輕易相信所謂的高息“保險”、高息“理財”，高收益意味著高風險。>>詳細

【防騙指南】這樣的套路要當心！

套路千萬條，防騙第一條。詐騙套路日益升級，讓人防不勝防，以下常見詐騙套路大家一定要小心！>>詳細

擴散！網貸詐騙又出新花樣，千萬別上當！

近期陸續收到客戶反映，有虛假貸款、派發紅包、提供備用金等所謂的“農商銀行”短信或不明鏈接，誘導短信回復、點擊鏈接，后續向客戶索要手續費……>>詳細

原來這些都是常見的洗錢方式！

洗錢是金融行業最常見和嚴重的金融犯罪之一，具有隱蔽性強，方式多樣和過程復雜的特點。其不僅破壞經濟活動的公平公正原則，破壞市場經濟有序競爭，損害金融機構的聲譽和正常運行。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年1月4日-10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞268，其中高危漏洞90個、中危漏洞140個、低危漏洞38個。漏洞平均分值為5.74。上周收錄的漏洞中，涉及0day漏洞136個（占51%），其中互聯網上出現“Egavilan Media UnderOnstruction Page With Cpanel SQL注入漏洞、Online Marriage Registration System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）和開放手持設備聯盟（簡稱oha）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致所需的系統執行特權在本地升級，導致特權的本地升級，而無需其他執行特權等。

CNVD收錄的相關漏洞包括：Google Android Pixel本地權限提升漏洞（CNVD-2021-01333、CNVD-2021-01334、CNVD-2021-01335）、Google Android本地權限提升漏洞（CNVD-2021-01336）、Google Android拒絕服務漏洞（CNVD-2021-01328、CNVD-2021-01332）、Google Android權限提升漏洞（CNVD-2021-01329、CNVD-2021-01339）。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows Server是一套服務器操作系統。Windows COM是美國Microsoft公司的一套軟件組件的二進制接口標準。該組件使得能夠與Windows服務進行實時交互。Microsoft Excel是美國微軟（Microsoft）公司的一款Office套件中的電子表格處理軟件。Microsoft Exchange Server是Microsoft開發的郵件服務器和日歷服務器。Microsoft Windows是美國微軟（Microsoft）公司的一套個人設備使用的操作系統。DirectX是其中的一個多媒體系統鏈接庫。Microsoft Visual Studio是一個集成的開發環境，用于開發計算機程序、網站、Web應用程序、Web服務和移動應用程序。Windows Graphics Device Interface是美國Microsoft公司的一個圖形設備接口函數。該函數負責系統與繪圖程序之間的信息交換，處理所有Windows程序的圖形輸出。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在目標系統上執行任意代碼，控制受影響的系統，可以安裝程序；查看、更改或刪除數據；或者創建擁有完全用戶權限的新帳戶等。

CNVD收錄的相關漏洞包括：Microsoft COM for Windows遠程代碼執行漏洞（CNVD-2021-01045）、Microsoft Excel遠程代碼執行漏洞（CNVD-2021-01037）、Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2021-01044）、Microsoft MicrosoftWindows Codecs Library遠程代碼執行漏洞（CNVD-2021-01042、CNVD-2021-01043）、Microsoft Visual Studio遠程代碼執行漏洞（CNVD-2021-01041）、Microsoft Windows Graphics Device Interface (GDI)遠程代碼執行漏洞、Microsoft Windows Storage Services權限提升漏洞。其中，“Microsoft Visual Studio遠程代碼執行漏洞（CNVD-2021-01041）、Microsoft Microsoft Windows Codecs Library遠程代碼執行漏洞、Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2021-01044）、Microsoft COM for Windows遠程代碼執行漏洞（CNVD-2021-01045）、Microsoft Windows GraphicsDevice Interface (GDI)遠程代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBMAPI Connect（APIConnect）是美國IBM公司的一套用于管理API生命周期的集成解決方案。該產品支持創建、運行、管理和保護API和微服務等。IBM Cloud Pak System是美國IBM公司的一套具有可配置、預集成軟件的全棧、融合基礎架構。IBM Curam Social ProgramManagement是美國IBM公司的一套社會計劃管理解決方案，支持端到端社會項目交付流程。IBM Maximo AssetManagement是美國IBM公司的一套綜合性資產生命周期和維護管理解決方案。IBM Spectrum Protect Plus是一套數據保護平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過純文本傳輸繞過對數據的訪問限制，以獲取敏感信息，執行從網站信任的用戶傳輸的惡意和未經授權的操作，在服務器上執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM API Connect訪問控制錯誤漏洞（CNVD-2021-01274）、IBM Cloud Pak System會話固定漏洞、IBM Cloud Pak System跨站請求偽造漏洞（CNVD-2021-01065）、IBM Cloud Pak System權限提升漏洞、IBM Cloud Pak System任意文件上傳漏洞（CNVD-2021-01067）、IBM Curam Social ProgramManagement跨站請求偽造漏洞（CNVD-2021-01275）、IBM Maximo Asset Management跨站請求偽造漏洞（CNVD-2021-01278）、IBM Spectrum Protect Plus目錄遍歷漏洞。其中，“IBM API Connect訪問控制錯誤漏洞（CNVD-2021-01274）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Database Server是美國甲骨文（Oracle）公司的一套關系數據庫管理系統。該數據庫管理系統提供數據管理、分布式處理等功能。Oracle MySQL Cluster是美國甲骨文（Oracle）公司的MySQL的適合于分布式計算環境的高實用、高冗余版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過Oracle Net擁有資源、創建表、創建視圖、創建過程、Dbfs角色和網絡訪問權限，從而破壞數據庫文件系統，擁有本地登錄特權，登錄到調度程序執行的基礎設施，從而危及調度程序，導致Scheduler被接管，插入或刪除對某些MySQL Cluster可訪問數據的訪問，以及未經授權的功能，從而導致MySQL Cluster的部分拒絕服務（部分DOS）等。

CNVD收錄的相關漏洞包括：Oracle Application ExpressData Reporter component權限獲取漏洞、Oracle Database ServerDatabase Filesystem component未授權訪問漏洞、Oracle Database ServerExpress Quick Poll component權限獲取漏洞、Oracle Database ServerOracle Application Express component未授權訪問漏洞、Oracle Database Server Oracle Text component未授權訪問漏洞、Oracle Database Server Scheduler component未授權訪問漏洞、Oracle Database Server信息泄露漏洞、Oracle MySQL Cluster Cluster NDBCluster Plugin拒絕服務漏洞。其中，“Oracle Database Server Scheduler component未授權訪問漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SolarWinds Web Help Desk跨站腳本漏洞（CNVD-2021-01529）

SolarWinds Web Help Desk是一款基于Web的幫助臺工單和IT資產管理軟件。SolarWinds Web Help Desk 12.7.0存在跨站腳本漏洞。攻擊者可通過帶有特制Location Name字段的CSV模板文件利用該漏洞進行跨站腳本攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用導致所需的系統執行特權在本地升級，導致特權的本地升級，而無需其他執行特權等。此外，Microsoft、IBM、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用在目標系統上執行任意代碼，控制受影響的系統，通過Oracle Net擁有資源、創建表、創建視圖、創建過程、Dbfs角色和網絡訪問權限，從而破壞數據庫文件系統等。另外，SolarWinds Web Help Desk被披露存在跨站腳本漏洞。攻擊者可通過帶有特制Location Name字段的CSV模板文件利用該漏洞進行跨站腳本攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、第一財經、證券日報、恒豐銀行、哈爾濱銀行、內蒙古銀行、江西農商銀行、重慶銀行微銀行、連贏管家報道

責任編輯：韓希宇