國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞355個，互聯網上出現“SolarWindsWeb Help Desk CSV注入漏洞、Webmin任意命令執行漏洞（CNVD-2021-07125）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國銀聯發布2020年移動支付安全大調查報告

消費者對移動支付的安全性日趨肯定，加上移動支付的普遍性日益增加，人們對于使用移動支付也越加放心。>>詳細

信息安全控制如何有效植入業務流程？

為應對激烈的市場競爭現狀，推行國際和國內標準化管理體系的應用、認證，對內部管理持續改革與創新，在規范管理、防范風險、提升競爭力方面有著重要作用。>>詳細

北京銀行取消電子銀行密碼

為簡化廣大用戶的密碼管理，提升用戶體驗，自2021年1月27日起，北京銀行取消電子銀行密碼。>>詳細

【安全】“新冠疫苗預約”新騙局，謹防中招

近期，首批新型冠狀病毒疫苗在多地試行接種，騙子們竟又意圖大發不義之財，利用疫情實施欺詐。特殊時期，請擦亮雙眼，防疫期間也要做好防騙！>>詳細

春節將近，嚴防網絡詐騙！

隨著微信支付、支付寶的出現，只需一部手機便可以搞定一切，生活一下變得簡單了很多，但總有一些不法分子趁著新時代快捷方便的手機支付方式，以各種違法的手段進行網絡電信詐騙，這些詐騙手段你又了解多少? >>詳細

消?？俊捌帧?| 反詐宣傳之“轉賬請三思”

凡遇到陌生人要求轉賬、匯款及索要賬號、密碼、驗證碼者，都需提高警惕，謹防詐騙。>>詳細

【小鄭課堂】敲黑板：防范非法集資 教你守好錢袋子

天上不會掉餡餅、一夜暴富不可行；投資不能太大意、高額返利要當心。>>詳細

“合適”才最好，兩分鐘教您做理性金融消費者

近年來，隨著我國國民經濟的穩步發展，和人民生活水平的不斷提高，金融服務產品越來越豐富，但是作為個人一定要選擇適合自己的產品，要學習、了解、掌握基本的金融知識和技能，當一個理性金融消費者。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年1月25日-31日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞355個，其中高危漏洞117個、中危漏洞190個、低危漏洞48個。漏洞平均分值為5.62。上周收錄的漏洞中，涉及0day漏洞173個（占49%），其中互聯網上出現“SolarWindsWeb Help Desk CSV注入漏洞、Webmin任意命令執行漏洞（CNVD-2021-07125）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Chrome是由Google開發的一款設計簡單、高效的Web瀏覽工具，其特點是簡潔、快速。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面繞過防火墻控制，利用堆破壞，執行沙箱轉義等。

CNVD收錄的相關漏洞包括：Google Chrome堆緩沖區溢出漏洞（CNVD-2021-07099）、GoogleChrome ImageBurner競爭條件漏洞、GoogleChrome聯網策略執行不足漏洞（CNVD-2021-07102）、Google Chrome WASM數據驗證不足漏洞、Google Chrome釋放后重用漏洞（CNVD-2021-07100、CNVD-2021-07105）、Google Chrome V8實現不當漏洞（CNVD-2021-07106）、GoogleChrome cryptohome實現不當漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco AnyConnect SecureMobility Client for Windows是一款基于Windows平臺的可通過任何設備安全訪問網絡和應用的安全移動客戶端。Cisco Security Manager（CSM）是一套企業級的管理應用，它主要用于在Cisco網絡和安全設備上配置防火墻、VPN和入侵保護安全服務。Cisco Expressway是一款網關解決方案，可讓您的防火墻之外的用戶簡單、高度安全地訪問所有協同工作。Cisco Firepower Management Center（FMC）是新一代防火墻管理中心軟件。CiscoEdge Fog Fabric（EFF）是面向工業客戶的開放架構物聯網平臺。Cisco TelePresence Collaboration Endpoint（CE）是一款使用在Cisco視頻會議解決方案中的協作終端軟件。Cisco AnyConnect Secure Mobility Client是一種虛擬專用網絡（VPN）客戶端，適用于各種操作系統和硬件配置。NexusData Broker提供了一種針對大流量和關鍵業務流量的簡單、可擴展且具有成本效益的監視解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未經授權獲得網絡訪問權限，覆蓋任意文件，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco AnyConnect SecureMobility Client for Windows代碼問題漏洞（CNVD-2021-05520）、Cisco Security Manager路徑遍歷漏洞、Cisco Expressway Software信息泄露漏洞、Cisco Firepower Management Center拒絕服務漏洞、Cisco Edge Fog Fabric授權問題漏洞、Cisco TelePresence Collaboration Endpoint訪問控制錯誤漏洞、Cisco AnyConnect Secure Mobility Client for Windows拒絕服務漏洞、Cisco Nexus Data Broker Software路徑遍歷漏洞。其中，“Cisco AnyConnect Secure Mobility Client for Windows代碼問題漏洞（CNVD-2021-05520）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM WebSphere ApplicationServer（WAS）是由IBM遵照開放標準，例如JavaEE、XML及Web Services，開發并發行的一種應用服務器。IBM Security Identity Governance and Intelligence（IGI）是一套身份管理和治理解決方案。IBMPlanning Analytics是美國IBM公司的一套業務規劃分析解決方案。IBM Spectrum LSF Suite是美國IBM公司的一套工作負載管理解決方案。IBM Security Guardium Data Encryption (GDE)提供了一組模塊化的加密解決方案，可幫助安全團隊有效地實現整個組織的靜態數據安全性。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息或消耗內存資源等。

CNVD收錄的相關漏洞包括：IBM WebSphere ApplicationServer XML外部實體注入漏洞（CNVD-2021-06634）、IBM Security Identity Governance身份驗證漏洞、IBM Security Identity Governance and Intelligence信息泄露漏洞、IBM Planning Analytics信息泄露漏洞（CNVD-2021-06640、CNVD-2021-06639）、IBM Spectrum LSF命令注入漏洞、IBM Security Guardium Data Encryption權限控制不當漏洞、IBM Security Guardium Data Encryption弱加密算法漏洞。其中，“IBM WebSphere Application Server XML外部實體注入漏洞（CNVD-2021-06634）、IBMSecurity Identity Governance身份驗證漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei Mate 30是一款智能手機。Huawei Taurus-AL00A是一款智能手機。"Huawei Taurus-AL00A是一款智能手機。Huawei Taurus-AL00A是一款智能手機。Huawei Manageone是一套云數據中心管理解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致緩沖區溢出，影響設備正常使用等。

CNVD收錄的相關漏洞包括：Huawei Mate 30緩沖區溢出漏洞（CNVD-2021-07518）、HuaweiMate 30弱算法漏洞（CVE-2021-22307）、Huawei Taurus-AL00A內存錯誤引用漏洞、Huawei Taurus-AL00A越界讀取漏洞、Huawei Taurus-AL00A指針雙重釋放漏洞、Huawei ManageOne CSV注入漏洞、Huawei Mate 30越界讀取漏洞（CNVD-2021-07520）、HuaweiMate 30棧溢出漏洞。其中，“HuaweiMate 30緩沖區溢出漏洞（CNVD-2021-07518）、Huawei ManageOne CSV注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Quest Policy Authority跨站腳本漏洞

Quest Policy Authority ForUnified Communications是美國Quest公司的一個用于企業環境中整合各種媒體之間的通信數據（文本和即時消息，視頻會議，電子郵件和語音郵件）的軟件。上周，Quest Policy Authority被披露存在跨站腳本漏洞。攻擊者可利用該漏洞通過PolicyAuthority/Common/FolderControl.jsp的unqID參數向瀏覽器注入惡意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面繞過防火墻控制，利用堆破壞，執行沙箱轉義等。此外，Cisco、IBM、Huawei等多款產品被披露存在多個漏洞，攻擊者可利用漏洞未經授權獲得網絡訪問權限，覆蓋任意文件，獲取敏感信息或消耗內存資源等。另外，Quest Policy Authority被披露存在跨站腳本漏洞。攻擊者可利用該漏洞通過PolicyAuthority/Common/FolderControl.jsp的unqID參數向瀏覽器注入惡意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀聯、工行電子銀行、中國農業銀行、浦發銀行、北京銀行、鄭州銀行微銀行、柳州銀行報道

責任編輯：韓希宇