國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞603個，互聯網上出現“WordPress插件Popular Posts遠程代碼執行漏洞、Zoo Management System 'Multiple'跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《個人信息保護法》落地,互聯網時代隱私驅動盈利模式終結

《個人信息保護法》的落地，回應了個人信息安全及合法權益的訴求，未來也將對電子商務、出行服務以及健康醫療等領域的互聯網巨頭的盈利模式帶來挑戰。>>詳細

合規篇│《關鍵信息基礎設施安全保護條例》發布了，接下來怎么做？

各行業各領域需要清楚識別各自的關鍵基礎設施的范圍，建立相應目錄，做好認定工作，并及時通報公安部門，真正做到對關鍵信息基礎設施的理解深刻，認定準確，通報及時。>>詳細

【李闖】蘋果照片審查中的神奇密碼學 及在金融領域應用的探討

蘋果的照片審查應該是工業界第一次大規模的應用PSI密碼技術，不得不佩服其對前沿技術的熱心和勇氣，而在我國工業界，基本上前沿密碼學的落地以金融領域為主，如果國產SM系列的密碼算法和相關協議，目前已經在金融領域系統中普及，是非常成功的案例。>>詳細

網絡交易陷阱重重，您可千萬不要大意！

辦理網絡購物、網絡退貨、退款時，應認清官方渠道，切勿輕信不明身份的電話、網絡聊天工具或其它形式提供的非正規的網絡鏈接。>>詳細

掃碼就能投？移動電子招投標竟有這種大招！

當前電子招投標過程中，普遍利用數字證書，對發標、投標、開標、評標、定標各環節關鍵操作進行簽名、簽章、加密、解密，以達到防篡改、抗抵賴、防泄漏的目的。>>詳細

騙子開戶套路多，可疑線索不放過

近年來，隨著互聯網的蓬勃發展，通過竊取、收買他人銀行賬戶，進行洗錢等違法金融活動的現象時有發生，那么，該如何防范電信網絡詐騙，從而遠離洗錢陷阱呢？小編帶您直擊騙局現場，快來一起學習吧。>>詳細

理財詐騙風險事件通報，這樣的二維碼要注意！

請您審慎處理任何含可疑二維碼、鏈接、應用程序的廣告、短信等消息，不要輕易點擊。>>詳細

震驚 | 這些都是騙局，千萬別中招

隨著信息化時代的發展，各類金融詐騙手段越發隱蔽、多樣，稍有疏忽就上當受騙，叫人叫苦不迭，今天，和小信一起，認清陷阱，保護好自己吧！>>詳細

安全防范 | 謹防電信詐騙 守護資產安全

謹防電信詐騙，莫信天上掉餡餅，快來一起識破騙局，保護個人資產安全吧！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年8月16日-22日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞603個，其中高危漏洞166個、中危漏洞367個、低危漏洞70個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞354個（占59%），其中互聯網上出現“WordPress插件Popular Posts遠程代碼執行漏洞、Zoo Management System 'Multiple'跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google TensorFlow是一個端到端開源機器學習平臺。Chrome是由Google開發的一款Web瀏覽工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Google Chrome越界讀取漏洞（CNVD-2021-62186）、Google Chrome釋放后重用漏洞（CNVD-2021-62185、CNVD-2021-62188）、Google Chrome堆緩沖區溢出漏洞（CNVD-2021-62189）、Google TensorFlow input_splits tensor代碼執行漏洞、Google TensorFlow tf.raw_ops.BoostedTreesCreateEnsemble代碼執行洞、Google TensorFlow MKL代碼執行漏洞、Google TensorFlow任意代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows/Windows Server遠程代碼執行漏洞（CNVD-2021-62473、CNVD-2021-62472、CNVD-2021-62479、CNVD-2021-62484、CNVD-2021-62483、CNVD-2021-62487、CNVD-2021-62490、CNVD-2021-62489）。其中，除“Microsoft Windows/Windows Server遠程代碼執行漏洞（CNVD-2021-62484、CNVD-2021-62483）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe XMP Toolkit SDK是美國奧多比（Adobe）公司的一種標簽技術，允許您將有關文件的數據（稱為元數據）嵌入到文件本身中。Adobe Bridge是Adobe公司推出的一款免費數字資產管理應用程序。Adobe Photoshop，簡稱“PS”，是由Adobe公司開發和發行的圖像處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：Adobe XMP Toolkit SDK堆緩沖區溢出漏洞（CNVD-2021-63256、CNVD-2021-63260、CNVD-2021-63259）、Adobe Bridge越界讀取漏洞（CNVD-2021-63274）、Adobe Photoshop堆緩沖區溢出漏洞（CNVD-2021-63278）、Adobe Photoshop越界寫入漏洞（CNVD-2021-63277）、Adobe Bridge越界寫入漏洞（CNVD-2021-63281）、Adobe Bridge堆緩沖區溢出漏洞（CNVD-2021-63280）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR M4300-28G、NETGEAR R6400、NETGEAR R6700、NETGEAR D6100、NETGEAR EX7000、NETGEAR D6220、NETGEAR R6300、NETGEAR EX3700、NETGEAR DGN2200、NETGEAR R8900等都是美國網件（NETGEAR）公司的一款網管型交換機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行非法命令，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：多款NETGEAR產品權限提升漏洞（CNVD-2021-63373）、多款NETGEAR產品命令注入漏洞（CNVD-2021-63372、CNVD-2021-63379）、NETGEAR權限提升漏洞、NETGEAR緩沖區溢出漏洞（CNVD-2021-63378、CNVD-2021-63380）、多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-63381、CNVD-2021-63773）。目前，廠商已經發布了上述漏洞的修補程序。

Portlandlabs Concrete5代碼問題漏洞

Portlandlabs Concrete5是美國PortlandLabs（Portlandlabs）公司的一套開源內容管理系統（CMS）。上周，Portlandlabs concrete5被披露存在代碼問題漏洞。攻擊者可利用該漏洞將專門設計的數據傳遞給應用程序，并在目標系統上執行任意PHP代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼或導致應用程序崩潰。此外，Microsoft、Adobe、NETGEAR等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致拒絕服務等。另外，Portlandlabs Concrete5被披露存在代碼問題漏洞。攻擊者可利用該漏洞將專門設計的數據傳遞給應用程序，并在目標系統上執行任意PHP代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經、中國郵政儲蓄銀行、中信銀行、興業銀行、湖北銀行、平頂山銀行報道

責任編輯：韓希宇