國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞594個，互聯網上出現“LJCMS SQL注入漏洞、baigo CMS跨站腳本漏洞（CNVD-2021-53924）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

最高法發布司法解釋規范人臉識別 不得強迫自然人同意處理人臉信息

最高人民法院副院長楊萬明表示，人臉信息屬于敏感個人信息中的生物識別信息，是生物識別信息中社交屬性最強、最易采集的個人信息，具有唯一性和不可更改性，一旦泄露將對個人的人身和財產安全造成極大危害，甚至還可能威脅公共安全。>>詳細

工信部啟動互聯網行業專項整治行動，聚焦侵害用戶權益等問題

專項整治行動聚焦擾亂市場秩序、侵害用戶權益、威脅數據安全、違反資源和資質管理規定等四方面8類問題，涉及22個具體場景。>>詳細

打通最后一公里 CFCA助力交通銀行銀企直聯業務安全平穩上云

交通銀行與中國金融認證中心（CFCA）合作，引入CFCA銀企云簽名服務平臺，推出銀企直聯開放服務，并在北京分行和廣西分行相繼落地，進一步深化銀企合作，服務實體經濟。>>詳細

生物識別安全隱患仍存：拿什么來保護我們的“身體密碼”？

我們需要通過優化生物識別認證算法，或結合其他安全認證原理，結合特定的應用場景，才能實現可靠性、安全性的防護，防止誤認、漏認等風險的發生。>>詳細

同學們，假期金融安全小貼士看過來~

遇到自稱朋友、熟人要求轉賬匯款時一定要提高警惕，務必通過視頻電話或者當面確認其身份后再進行操作。>>詳細

接一個電話被騙80萬！廣發信用卡揭秘電信詐騙套路

隨著數字技術的發展，新型詐騙手法層出不窮，嚴重危害了廣大群眾的財產安全。為提高廣大群眾防范電信詐騙意識，守護防電信詐騙“最后一公里”，廣發信用卡對電信詐騙幾大招數進行揭秘。>>詳細

【小河講反洗錢】警惕“幣圈”文化

不要相信天花亂墜的承諾，不要盲目跟風炒作，時刻警惕投機風險，避免自身財產損失。>>詳細

【以案說險】教您防范電信網絡詐騙之謹防“作品獲獎”騙局

不法分子利用老年人的興趣愛好和自我實現的心理需求，以作品獲獎需交納制證費、作品發表費以及獎金匯款手續費等方式，騙取老年人錢財。>>詳細

全民反詐，謹防被騙

凡事不見面、不履行相關手續要求轉賬、匯款的，請一律拒絕。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年7月19日-25日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞594個，其中高危漏洞162個、中危漏洞375個、低危漏洞57個。漏洞平均分值為5.55。上周收錄的漏洞中，涉及0day漏洞301個（占51%），其中互聯網上出現“LJCMS SQL注入漏洞、baigo CMS跨站腳本漏洞（CNVD-2021-53924）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

NETGEAR產品安全漏洞

NETGEAR R6300是一款無線路由器。NETGEAR PLW1000是一款電力線通訊調制解調器。NETGEAR D7800是一款無線調制解調器。NETGEAR R7500是一款無線路由器。NETGEAR WNDR3700和NETGEAR R6220都是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR R6250等都是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR EX6200等都是美國網件（NETGEAR）公司的一款無線網絡信號擴展器。NETGEAR WAC510、NETGEAR WAC505和NETGEAR WAC510都是美國網件（NETGEAR）公司的一款無線接入點（AP）。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，提升權限，執行非法操作系統命令，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：NETGEAR R6300、PLW1000和PLW1010授權問題漏洞、多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-52563）、多款NETGEAR產品跨站請求偽造漏洞（CNVD-2021-52569）、NETGEAR WNDR3700和R6220操作系統命令注入漏洞、NETGEAR WAC510授權問題漏洞、NETGEAR WAC510權限提升漏洞、NETGEAR WAC505和WAC510操作系統命令注入漏洞、多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-52952）。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在遠程代碼執行和權限提升漏洞，攻擊者可利用漏洞導致本地權限提升，實現遠程代碼執行。

CNVD收錄的相關漏洞包括：Google Android System遠程代碼執行漏洞（CNVD-2021-52330、CNVD-2021-52331）、Google Android System權限提升漏洞（CNVD-2021-52340、CNVD-2021-52338、CNVD-2021-52343、CNVD-2021-52341、CNVD-2021-52344）、Google Android Media Framework權限提升漏洞（CNVD-2021-52346）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。Adobe Premiere Pro是Adobe公司推出的一款基于時間軸的視頻編輯軟件。Adobe Prelude是一款專為媒體整理和元數據輸入而設計的視頻記錄和采集工具，可快速標記和轉碼視頻素材并快速創建粗剪。Adobe Character Animator是一款動作捕獲和動畫制作工具,它可以為每個人提供一個用于直觀地制作2D人物動畫、實時動畫以及輕松共享和發布人物的易于使用的解決方案。Adobe After Effects（簡稱“AE”）是Adobe公司推出的一款圖形視頻處理軟件，適用于從事設計和視頻特技的機構，包括電視臺、動畫制作公司、個人后期制作工作室以及多媒體工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop棧緩沖區溢出漏洞、Adobe Premiere Pro內存越界訪問漏洞、Adobe Prelude內存越界訪問漏洞、Adobe Character Animator內存越界訪問漏洞、Adobe After Effects越界寫入漏洞（CNVD-2021-54342、CNVD-2021-54341）、Adobe After Effects內存越界訪問漏洞（CNVD-2021-54339、CNVD-2021-54343）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞導致拒絕服務。

CNVD收錄的相關漏洞包括：Oracle MySQL Server拒絕服務漏洞（CNVD-2021-54025、CNVD-2021-54027、CNVD-2021-54369、CNVD-2021-54368、CNVD-2021-54372、CNVD-2021-54371、CNVD-2021-54370、CNVD-2021-54375）目前，廠商已經發布了上述漏洞的修補程序。

D-LINK DIR-3040信息泄露漏洞（CNVD-2021-53338）

D-LINK DIR-3040是中國臺灣友訊（D-Link）公司的一個路由器，提供連接網絡的功能。上周，D-LINK DIR-3040被披露存在信息泄露漏洞。攻擊者可利用該漏洞發送HTTP請求導致敏感信息的泄露。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，NETGEAR產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，提升權限，執行非法操作系統命令，導致緩沖區溢出或堆溢出等。此外，Google、Adobe、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升，執行任意代碼，導致拒絕服務。另外，D-LINK DIR-3040被披露存在信息泄露漏洞。攻擊者可利用該漏洞發送HTTP請求導致敏感信息的泄露。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部網站、中國證券報·中證網、中國郵政儲蓄銀行、廣發銀行、河北銀行、桂林銀行金融服務、廣州農村商業銀行報道

責任編輯：韓希宇