國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞677個，互聯網上出現“MetInfo SQL注入漏洞（CNVD-2021-74293）、Deskpro跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

上海積極推進數據條例立法 構建網絡安全綜合治理體系

近年來上海也在不斷加強制度、管理、技術三道安全防火墻的建設，采用脫敏加密的方式對個人信息和數據進行剝保護。>>詳細

2021年國家網絡安全宣傳周｜“守護安全，攜手行動”網絡安全倡議書

在“2021年國家網絡安全宣傳周”到來之際，中國互聯網協會向廣大網民朋友發出“守護安全，攜手行動”網絡安全倡議書。>>詳細

上海銀保監局：防范人臉識別技術使用風險 金融機構應積極推動互聯網應用適老化改造

消費者在享受人臉識別技術帶來便利的同時，也要清楚認識到人臉識別可能帶來的信息泄露風險，防范因認識不足而在不知情或者在被誤導情況下使用人臉識別技術的風險，給不法分子可乘之機。>>詳細

中國銀聯參加第八屆國家網絡安全宣傳周 展現安全創新與自主可控技術

以“網絡安全為人民，網絡安全靠人民”為主題的2021年國家網絡安全宣傳周活動在西安市開幕，中國銀聯以“安全支付，惠及民生”為主題，連續第八年參展。>>詳細

CFCA滲透測試：網絡安全“高倍顯微鏡”，讓黑客威脅路徑無所遁形

為了發現系統漏洞、及時“扎緊籬笆”，網絡安全工作者會實施一項驅散“黑客”藏身迷霧的措施——滲透測試。>>詳細

帶您識破“冒充公檢法”騙局，不被騙子洗腦

對于陌生人士的錢款交易要求，請謹慎對待，不要輕信所謂的“安全賬戶”。付款前，需先對付款金額、收款人、收款賬戶信息進行仔細核實。>>詳細

金融信息安全 | 電信網絡詐騙如何防范篇

在面對可疑來電時，最基本的要義就是“個人信息嚴格保密”。>>詳細

【防范詐騙】河北銀行手機銀行安全使用手冊

為了保障您的資金安全和交易安全，手機支付需警惕，安全指南要牢記。>>詳細

【金融知識普及月】安全用卡謹防詐騙

一旦卡發生交易或資金變動，持卡人即能第一時間通過短信獲悉。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年9月27日-10月10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞677個，其中高危漏洞161個、中危漏洞446個、低危漏洞70個。漏洞平均分值為5.51。上周收錄的漏洞中，涉及0day漏洞600個（占89%），其中互聯網上出現“MetInfo SQL注入漏洞（CNVD-2021-74293）、Deskpro跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Windows DNS是一個域名解析服務。Microsoft Windows Kernel是Windows操作系統的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞實現遠程代碼執行。

CNVD收錄的相關漏洞包括：Microsoft Windows和Windows Server遠程代碼執行漏洞（CNVD-2021-74287、CNVD-2021-74286、CNVD-2021-74285、CNVD-2021-74290、CNVD-2021-74289、CNVD-2021-74288）、Microsoft Windows Server遠程代碼執行漏洞（CNVD-2021-74292、CNVD-2021-74291）。其中，“Microsoft Windows Server遠程代碼執行漏洞（CNVD-2021-74291）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe Genuine Software Service是一款正版軟件服務。Adobe Illustrator 2021是一款矢量繪圖軟件。Adobe Media Encoder是一款視頻和音頻編碼應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼，實現權限提升。

CNVD收錄的相關漏洞包括：Adobe Bridge內存破壞漏洞（CNVD-2021-74107、CNVD-2021-74106）、Adobe Genuine Software Service訪問控制錯誤漏洞、Adobe Illustrator 2021內存破壞漏洞（CNVD-2021-74110）、Adobe Illustrator 2021操作系統命令注入漏洞、Adobe Media Encoder內存越界訪問漏洞（CNVD-2021-74111）、Adobe Bridge越界寫入漏洞（CNVD-2021-74117、CNVD-2021-74116）。其中，除 “Adobe Genuine Software Service訪問控制錯誤漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

VMWare產品安全漏洞

Vmware VMware vCenter Server是美國威睿（Vmware）公司的一套服務器和虛擬化管理軟件。該軟件提供了一個用于管理VMware vSphere環境的集中式平臺，可自動實施和交付虛擬基礎架構。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞在執行任意代碼，獲得對系統的未經授權訪問，并執行未經身份驗證的虛擬機網絡設置操作，導致拒絕服務等。

CNVD收錄的相關漏洞包括：VMware vCenter Server跨站腳本漏洞（CNVD-2021-74276）、VMware vCenter Server代碼執行漏洞、VMware vCenter Server授權問題漏洞（CNVD-2021-74278、CNVD-2021-74284）、VMware vCenter Server路徑遍歷漏洞、VMware vCenter Server服務器端請求偽造漏洞、VMware vCenter Server拒絕服務漏洞（CNVD-2021-74281、CNVD-2021-74280）。其中，“VMware vCenter Server代碼執行漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

DELL產品安全漏洞

Dell EMC PowerScale OneFS是一款由API驅動的文件系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞越權獲取信息，提升權限等。

CNVD收錄的相關漏洞包括：Dell EMC PowerScale OneFS信息泄露漏洞（CNVD-2021-73938、CNVD-2021-73939、CNVD-2021-73942）、Dell EMC PowerScale OneFS日志記錄不足漏洞、Dell EMC PowerScale OneFS OS權限提升漏洞、Dell EMC PowerScale OneFS OS命令注入漏洞、Dell EMC PowerScale OneFS權限提升漏洞、Dell EMC PowerScale OneFS權限分配不正確漏洞。其中，“Dell EMC PowerScale OneFS權限提升漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

PDFTools空指針解引用漏洞

PDFTools是一款將PDF文件轉換為ePUB格式的工具。上周，PDFTools被披露存在空指針解引用漏洞。攻擊者可利用該漏洞導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞實現遠程代碼執行。此外，Adobe、VMWare、DELL等多款產品被披露存在多個漏洞，攻擊者可利用漏洞越權獲取信息，在當前用戶的上下文中執行任意代碼，實現權限提升等。另外，PDFTools被披露存在空指針解引用漏洞。攻擊者可利用該漏洞導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國互聯網協會、第一財經、中國證券報·中證網、中國銀聯、中國工商銀行電子銀行、民生銀行手機銀行、河北銀行、廣東南粵銀行報道

責任編輯：韓希宇