國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞378個，互聯網上出現“JIZHICMS跨站腳本漏洞、ZZCMS SQL注入漏洞（CNVD-2021-04410）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

最高檢印發《人民檢察院辦理網絡犯罪案件規定》（全文）

人民檢察院辦理網絡犯罪案件應當加強對電子數據收集、提取、保全、固定等的審查，充分運用同一電子數據往往具有的多元關聯證明作用，綜合運用電子數據與其他證據，準確認定案件事實。>>詳細

國家網信辦修訂《互聯網用戶公眾賬號信息服務管理規定》發布施行

全面加強平臺公眾賬號信息服務行為的基礎管理和過程管理，切實維護平臺內容安全、賬號安全、數據安全和個人信息安全。>>詳細

最高法“在線辦案規定”征求意見 智慧司法建設進程加速

電子數據的分散性、無形性等先天特性，讓其在存儲、提取、使用時面臨諸多風險：易被篡改、不穩定、難固化、易被損壞。>>詳細

全新“云證書”升級手機銀行安全體系

“云證書”是北京銀行聯合中國金融認證中心推出的新一代移動端證書解決方案，可以全面代替目前實體介質-電子密盾在手機銀行中的應用。>>詳細

謹防詐騙｜ 關注電子銀行安全，防范電信詐騙

當手機號碼變更時，應及時聯系銀行，將銀行賬戶綁定的手機號碼更新為新手機號碼。>>詳細

給銀行卡賬戶上一把“安全鎖”

夜間鎖、跨境鎖、境內限額鎖，防盜刷、防欺詐，即開即用，鎖住賬戶資金安全，為新年積攢財富保駕護航。>>詳細

個人“信用報告”知多少

個人信用報告記錄個人借債還錢、合同履行等信息，是個人信用歷史的客觀記錄。>>詳細

民生銀行北京分行深入社區開展防詐騙公益活動

防范電信詐騙不是一朝一夕的事，只有持續不斷的開展宣傳教育，才能不斷提升百姓的風險防范意識，提高百姓的金融素養，守住居民“錢袋子”，構建和諧穩定的金融環境。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年1月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞378個，其中高危漏洞94個、中危漏洞247個、低危漏洞37個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞140個（占37%），其中互聯網上出現“JIZHICMS跨站腳本漏洞、ZZCMS SQL注入漏洞（CNVD-2021-04410）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

SAP產品安全漏洞

SAP NetWeaver Master Data Management（SAP MDM）是德國SAP公司的一款用于管理企業間協同合作的軟件。SAP Netweaver是德國思愛普（SAP）公司的一套面向服務的集成化應用平臺。該平臺主要為SAP應用程序提供開發和運行環境。SAP Banking Services是德國思愛普（SAP）公司的一套銀行服務解決方案。SAP BusinessObjectsBusiness Intelligence Platform是德國思愛普（SAP）公司的一套商業智能軟件和企業績效解決方案套件。該產品具有報告生成、分析和數據可視化等功能。SAP NetWeaver AS ABAPBusiness Server是德國思愛普（SAP）公司的一款適用于ABAP（高級商務應用編程）的應用服務器。SAP S/4 HANA和SAP ERP都是德國思愛普（SAP）公司的產品。SAP S/4 HANA是一款適用于大型企業的智能化集成式ERP軟件。SAP ERP是一系列用于ERP管理的軟件。SAP NetWeaver Application Server是德國思愛普（SAP）公司的一款應用程序服務器。SAP HCM Travel Management是德國思愛普（SAP）公司的一個差旅管理模塊。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，進行權限提升，使應用崩潰等。

CNVD收錄的相關漏洞包括：SAP NetWeaver Master DataManagement信息泄露漏洞（CNVD-2021-03698）、SAP Netweaver AS ABAP資源管理錯誤漏洞、SAP Banking Services權限提升漏洞、SAP Netweaver AS JAVA授權問題漏洞、SAP BusinessObjects Business Intelligence Platform XML外部實體注入漏洞、SAP NetWeaver AS ABAP跨站腳本漏洞（CNVD-2021-03703）、SAP ERP和SAP S/4 HANA授權問題漏洞（CNVD-2021-03707）、SAP NetWeaver Application Server Java跨站腳本漏洞。其中，“SAP Netweaver AS JAVA授權問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit Reader和Foxit PhantomPDF都是中國福昕（Foxit）公司的一款PDF文檔閱讀器。Foxit PDF SDK ActiveX是中國福昕（Foxit）公司的一個PDF軟件開發工具包，也是一個可視化編程組件。該產品提供PDF顯示及注釋等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致堆棧緩沖區溢出或越界讀取，遠程執行代碼等。

CNVD收錄的相關漏洞包括：Foxit Reader和PhantomPDF競爭條件漏洞（CNVD-2021-04397、CNVD-2021-04399、CNVD-2021-04398、CNVD-2021-04401、CNVD-2021-04400、CNVD-2021-04403、CNVD-2021-04402）、Foxit PDF SDK ActiveX命令注入漏洞。其中，“Foxit PDF SDK ActiveX命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在兩個藍牙設備之間遠程升級特權，而無需其他執行特權，導致本地特權提升，獲取服務器控制權限。

CNVD收錄的相關漏洞包括：Google Android System遠程代碼執行漏洞（CNVD-2021-04374）、Google Android System權限提升漏洞（CNVD-2021-04373、CNVD-2021-04372）、Google Android Media Framework信息泄露漏洞（CNVD-2021-04376、CNVD-2021-04375）、Google Android Framework信息泄露漏洞（CNVD-2021-04379）、Google Chrome資源管理錯誤漏洞（CNVD-2021-04393）、Google Chrome內存錯誤引用漏洞（CNVD-2021-04421）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox和MozillaFirefox ESR都是美國Mozilla基金會的產品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。Mozilla Thunderbird是由Mozilla瀏覽器的郵件功能部件所改造的郵件工具，使用XUL程序界面語言所設計，是專門為搭配Mozilla Firefox瀏覽器使用者所設計的郵件客戶端軟件，界面設計更簡潔、而且免安裝。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞控制標簽的內容，同時URL欄顯示原始域，交特殊的WEB請求，誘使用戶解析，可使應用程序崩潰或可以應用程序上下文執行任意代碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox輸入驗證錯誤漏洞（CNVD-2021-04654）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2021-04744）、Mozilla Firefox跨站腳本漏洞（CNVD-2021-04748）、Mozilla Firefox內存破壞漏洞（CNVD-2021-04747）、Mozilla Firefox ESR緩沖區溢出漏洞（CNVD-2021-04746）、Mozilla Firefox ESR跨站腳本漏洞（CNVD-2021-04745）、MozillaThunderbird/Firefox ESR釋放后重用漏洞、Mozilla Firefox代碼執行漏洞（CNVD-2021-04749）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TP-Link TL-WR840N OS命令注入漏洞

TP-LINK TL-WR840N是一款無線路由器，信道數為13，支持VPN功能。上周，TP-Link TL-WR840N被披露存在OS命令注入漏洞。攻擊者可利用該漏洞注入OS命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，SAP產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，進行權限提升，使應用崩潰等。此外，Foxit、Google、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致堆棧緩沖區溢出或越界讀取，遠程執行代碼，獲取服務器控制權限等。另外，TP-Link TL-WR840N被披露存在OS命令注入漏洞。攻擊者可利用該漏洞注入OS命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、最高人民檢察院、網信中國、中國金融新聞網、北京銀行、邯鄲銀行、甘肅銀行、中國銀聯報道

責任編輯：韓希宇