國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞426個，互聯網上出現“Oscar Arzola PressBooks跨站腳本漏洞、Gym Management System SQL注入漏洞（CNVD-2021-11281）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【安全月刊】信息安全的這些知識你知道嗎

什么是信息安全？信息安全是指保護信息系統防止未經授權的訪問、使用、泄露、中斷、修改、或破壞，以提供信息的完整性、保密性、可用性。>>詳細

啥神仙操作？高風險業務安全便捷兩不誤??！

作為對安全體系重構的重要一環，北京銀行與中國金融認證中心（CFCA）合作，引入新一代移動端證書解決方案——云證通，以云證書的形式全面代替原來的物理安全介質在手機銀行中的應用，實現高風險業務場景下安全與便捷間的平衡。>>詳細

電信詐騙套路深，學好知識好防身

凡事需要先付錢的工作，都不可相信，應當拒絕。>>詳細

國內首個！CFCA安全輸入控件獲國密產品認證證書！

近日，中國金融認證中心（CFCA）安全輸入控件率先獲得國密局《商用密碼產品認證證書》，這也是目前國內第一個取得該資質的安全輸入控件產品。>>詳細

告捷！網絡詐騙成功阻截，9萬美元順利“回家”

在中行山東菏澤分行交易銀行部統一部署下，開始了一場追討海外詐騙款的實戰。工作人員第一時間聯系山東中行支付清算部查詢查復團隊，告知該筆資金涉嫌詐騙，并向中轉行和收款行發送止付指令，請求退款，及時跟進省行報文狀態，隨時做好客戶電話問詢答復。>>詳細

警惕借“注銷校園貸”詐騙，收好這六條防騙貼士

近日一種以"注銷校園貸"為借口的新騙局在全國各地頻繁出現，詐騙分子偽裝成貸款機構的客服人員，以"校園貸的額度要清零、注銷，不注銷將會影響征信"為由行騙，不少消費者中招。>>詳細

擦亮“眼睛” 遠離電信網絡詐騙

您一旦發現自己遭遇電信網絡詐騙，務必記得與犯罪分子搶時間，爭分奪秒開展自救。>>詳細

【消?！恐攸c關注《銀行業從業人員職業操守和行為準則》

《操守和準則》明確銀行業協會建立違法違規違紀人員“黑名單”和“灰名單”，對納入相關名單的人員實行通報同業、行業禁入等懲戒制度。>>詳細

警惕！有人冒充銀行名義營銷宣傳 多家銀行發聲……

面對類似虛假宣傳造勢的行為，除了監管部門要加大打擊力度、銀行業金融機構保持警惕之外，金融消費者的識別能力和風險意識也亟待加強。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年2月8日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞426個，其中高危漏洞194個、中危漏洞183個、低危漏洞49個。漏洞平均分值為6.10。上周收錄的漏洞中，涉及0day漏洞231個（占54%），其中互聯網上出現“Oscar Arzola PressBooks跨站腳本漏洞、Gym Management System SQL注入漏洞（CNVD-2021-11281）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）和開放手持設備聯盟（簡稱oha）的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致需要系統執行特權的權限本地升級，提交特殊的請求，可提升權限，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android VPU權限提升漏洞（CNVD-2021-09904、CNVD-2021-09908）、Google Android wlan driver越界寫漏洞、Google Android mtkpower內存破壞漏洞、Google Android display driver限提升漏洞、Google Android Framework拒絕服務漏洞（CNVD-2021-10540）、Google Android Pixel權限提升漏洞（CNVD-2021-10541）、Google Android資源管理錯誤漏洞（CNVD-2021-10538）。其中，“Google Android VPU權限提升漏洞（CNVD-2021-09904、CNVD-2021-09908）、Google Android wlan driver越界寫漏洞、Google Android mtkpower內存破壞漏洞、Google Android display driver限提升漏洞、Google Android Framework拒絕服務漏洞（CNVD-2021-10540）、Google Android Pixel權限提升漏洞（CNVD-2021-10541）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Smart Software Manager Satellite是一個為用于提供許可證智能管理功能的軟件。Cisco Data Center Network Manager (DCNM)是Cisco的一套數據中心網絡管理器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞可通過誘使界面用戶點擊鏈接利用該漏洞在受影響的設備上執行任意腳本代碼，向受影響的設備發送特制HTTP請求利用該漏洞越權編輯配置，發送特制HTTP請求利用該漏洞以管理員權限列出、查看、創建、編輯和刪除特定系統配置，可通過向受影響設備發送惡意的HTTP請求利用該漏洞在底層操作系統上執行任意命令等。

CNVD收錄的相關漏洞包括：Cisco Smart SoftwareManager Satellite Web UI命令注入漏洞（CNVD-2021-09935、CNVD-2021-09934、CNVD-2021-09933、CNVD-2021-09937、CNVD-2021-09936）、Cisco Data Center Network Manager反射型文件下載漏洞、Cisco Data Center Network Manager授權繞過漏洞（CNVD-2021-09949、CNVD-2021-09948）。其中，“Cisco Smart Software Manager Satellite Web UI命令注入漏洞（CNVD-2021-09935、CNVD-2021-09934、CNVD-2021-09933、CNVD-2021-09937、CNVD-2021-09936）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

AdobePhotoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。Adobe Reader(也被稱為Acrobat Reader)是Adobe公司開發的一款PDF文件閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop越界寫入漏洞（CNVD-2021-11019）、Adobe Animate越界寫入漏洞、Adobe Illustrator越界寫入漏洞（CNVD-2021-11016、CNVD-2021-11017）、Adobe Photoshop越界讀取漏洞（CNVD-2021-11022）、Adobe Photoshop緩沖區溢出漏洞（CNVD-2021-11021、CNVD-2021-11020）、多款Adobe產品內存錯誤引用漏洞（CNVD-2021-11024）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows操作系統是美國微軟公司研發的一套操作系統。Microsoft Word是美國微軟（Microsoft）公司的一套Office套件中的文字處理軟件。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過運行特制應用程序利用該漏洞以提升的權限運行任意代碼，運行特制應用程序利用該漏洞提升權限，導致目標主機發生藍屏等。

CNVD收錄的相關漏洞包括：Microsoft Windows TCP/IP遠程執行代碼漏洞、Microsoft Windows TCP/IP拒絕服務漏洞、Microsoft Windows和Windows Server權限提升漏洞（CNVD-2021-11039、CNVD-2021-11040）、Microsoft Word遠程代碼執行漏洞（CNVD-2021-11032、CNVD-2021-11036、CNVD-2021-11035、CNVD-2021-11031）。其中“Microsoft Windows TCP/IP遠程執行代碼漏洞、Microsoft Windows TCP/IP拒絕服務漏洞、Microsoft Word遠程代碼執行漏洞（CNVD-2021-11031）、Microsoft Windows和Windows Server權限提升漏洞（CNVD-2021-11039、CNVD-2021-11040）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Centreon SQL注入漏洞（CNVD-2021-11075）

Centreon是一款免費且開源的IT和應用程序監控軟件。上周，Centreon被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入SQL查詢，從而可實現遠程命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞導致需要系統執行特權的權限本地升級，提交特殊的請求，可提升權限，導致拒絕服務等。此外，Cisco、Adobe、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過誘使界面用戶點擊鏈接利用該漏洞在受影響的設備上執行任意腳本代碼，通過運行特制應用程序利用該漏洞以提升的權限運行任意代碼，運行特制應用程序利用該漏洞提升權限，導致目標主機發生藍屏等。另外，Centreon被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入SQL查詢，從而可實現遠程命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經、每日經濟新聞、中國銀行、南京銀行、內蒙古銀行、四川農信報道

責任編輯：韓希宇