國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞402個，互聯網上出現“libde265堆緩沖區溢出漏洞（CNVD-2021-78426）、libde265堆緩沖區溢出漏洞（CNVD-2021-78427）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部：明年初步建立物聯網基礎安全標準體系

《指南》提出，到2022年，初步建立物聯網基礎安全標準體系，研制重點行業標準10項以上，明確物聯網終端、網關、平臺等關鍵基礎環節安全要求，滿足物聯網基礎安全保障需要，促進物聯網基礎安全能力提升。>>詳細

《廣東省公共數據管理辦法》解讀

已發布的規范性文件，僅從數據目錄建設管理、共享平臺管理等某一角度進行規范，或僅對公共信用數據等某一類數據的管理做出規定，并未對全省政務數據管理工作進行系統性、統籌性的全面規范，電子證照、電子印章、電子簽名和電子檔案的使用和規范性要求仍需明確。>>詳細

【風險提示】提高警惕！防范虛擬貨幣非法活動

近年來，一些不法分子打著“金融創新”“區塊鏈”的旗號，通過發行所謂“虛擬貨幣”“虛擬資產”“數字資產”等方式吸收資金，侵害公眾合法權益。>>詳細

新型詐騙“殺鳥”盤，刷單需謹慎！

沙鳥盤又稱刷單詐騙、兼職詐騙，騙子通過發高薪兼職信息吸引受害者參與，再通過套路不斷鼓勵受害者投錢代刷，最終騙取錢財。>>詳細

百度人臉采集SDK通過CFCA安全測評 專業測評把關鞏固安全防線

近日，百度發布了創新炫瞳活體檢測，增強對于非活體的攔截能力，同時全面對人臉采集SDK進行安全加固，并委托中國金融認證中心（CFCA）進行人臉采集SDK安全測評。>>詳細

不動產登記證書“電子化”時代來臨 CFCA“可信電子簽章+區塊鏈存證”護航電子證照安全

無論是電子不動產登記證書還是其它電子證照，因其具備便利性、可傳播性、易用性等特點，證照的真實性以及是否防篡改無疑成為證照使用中最主要的風險點。>>詳細

【安全課堂】當心“升級電子社?？ā钡男滦万_局

遇事莫慌，核查再定，多一份確認，少一份損失，守護您的資金安全。>>詳細

跨境反詐 | 資金安全，“交”給我來守護

結算資金安全關系到企業生產經營命脈。交行高度重視，立即組織排查工作?？墒强缇迟Y金流監控顯示，客戶資金已經出境！時間緊急！客戶資金安全岌岌可危！>>詳細

網絡安全 守護你我

《個人信息保護法》切實將廣大人民群眾網絡空間合法權益維護好、保障好、發展好，使廣大人民群眾在數字經濟發展中享受更多的獲得感、幸福感、安全感。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年10月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞402個，其中高危漏洞117個、中危漏洞231個、低危漏洞54個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞334個（占83%），其中互聯網上出現“libde265堆緩沖區溢出漏洞（CNVD-2021-78426）、libde265堆緩沖區溢出漏洞（CNVD-2021-78427）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2021-78770、CNVD-2021-78773、CNVD-2021-78772、CNVD-2021-78771、CNVD-2021-78776、CNVD-2021-78775）、Google Android MessageQueueBase.h緩沖區溢出漏洞、Google Android WideVine代碼執行漏洞。其中，“Google Android MessageQueueBase.h緩沖區溢出漏洞、Google Android WideVine代碼執行漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ZOHO產品安全漏洞

ZOHO ManageEngine ADManager Plus是美國卓豪（ZOHO）公司的一套為使用Windows域的企業用戶設計的微軟活動目錄管理軟件。該軟件能夠協助AD管理員和幫助臺技術人員進行日常管理工作，例如批量管理用戶帳戶和AD對象、給幫助臺技術員指派基于角色的訪問權限等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致遠程代碼執行。

CNVD收錄的相關漏洞包括：ZOHO ManageEngine ADManager Plus文件上傳漏洞（CNVD-2021-78727、CNVD-2021-78730、CNVD-2021-78729、CNVD-2021-78728、CNVD-2021-78733、CNVD-2021-78732、CNVD-2021-78731、CNVD-2021-78736）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Rust是Mozilla基金會的一款通用、編譯型編程語言。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致內存損壞、數據競爭和未定義的行為等。

CNVD收錄的相關漏洞包括：Mozilla Rust命令注入漏洞（CNVD-2021-78744、CNVD-2021-78750）、Mozilla Rust內存破壞漏洞（CNVD-2021-78747）、Mozilla Rust內存泄露漏洞、Mozilla Rust緩沖區溢出漏洞（CNVD-2021-78756、CNVD-2021-78755、CNVD-2021-78754、CNVD-2021-78753）。其中，“Mozilla Rust內存破壞漏洞（CNVD-2021-78747）、Mozilla Rust內存泄露漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Sterling File Gateway是一款用于在內部和外部合作伙伴之間傳輸文件的應用程序，可讓您更加安全可靠地與貿易伙伴進行文件傳輸。IBM Sterling B2B Integrator是一個交易引擎，是一套根據您的業務需求運行您定義和管理的流程的組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、上傳任意文件等。

CNVD收錄的相關漏洞包括：IBM Sterling File Gateway跨站請求偽造漏洞、IBM Sterling File Gateway跨站腳本漏洞（CNVD-2021-78435、CNVD-2021-78438）、IBM Sterling File Gateway信息泄露漏洞（CNVD-2021-78437、CNVD-2021-78442、CNVD-2021-78441）、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2021-78440）、IBM Sterling File Gateway任意文件上傳漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla Rust內存破壞漏洞（CNVD-2021-78745）

Rust是Mozilla基金會的一款通用、編譯型編程語言。上周，Mozilla Rust被披露存在內存破壞漏洞。攻擊者可利用該漏洞導致未定義的行為，如數據競爭。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。此外，ZOHO、Mozilla、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息、上傳任意文件、導致內存損壞、遠程代碼執行等。另外，Rust被披露存在內存破壞漏洞。攻擊者可利用該漏洞導致未定義的行為，如數據競爭。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、廣東省政務服務數據管理局網站、中國證券報·中證網、交通銀行、北京銀行微銀行、上海銀行、丹東銀行報道

責任編輯：韓希宇