國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞484個，互聯網上出現“webTareas路徑遍歷漏洞、webTareas跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家網信辦擬建立數據分類分級保護制度

《意見稿》明確，按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據。>>詳細

解析新型套路！利用數字人民幣詐騙和洗錢，多個犯罪團伙被抓捕

數字人民幣的可控匿名性是以風險可控為前提的有限匿名，在保護合理的匿名需求同時，保持對犯罪行為的打擊能力。等待騙子們的結局，終是天網恢恢疏而不漏。>>詳細

身份證放在手機錢包更安全嗎？蘋果被曝將上線數字證件引發爭議

數字身份系統的參與方應該制定更詳細的方案，確保用戶在使用身份驗證功能時的個人隱私受到保護。>>詳細

敏感信息需單獨同意，銀行業務將如何優化調整

一方面要做精自有的數字資產，另一方面要提升模型能力，隱私計算將會成為重要的科技能力。>>詳細

隱私計算技術正成為剛需 銀行投入了大量精力

近年來，大數據、云計算、人工智能等新興技術與金融行業的深度融合，孕育了新的金融服務產品和模式。>>詳細

青島銀行“鷹眼”智慧反詐守護民眾錢袋子

青島銀行“鷹眼”智能監控平臺于2020年9月正式上線，該系統利用大數據平臺與運營管理平臺的交互，具有海量數據處理、預警實時觸發、風險處置全流程閉環管控等業界領先功能。>>詳細

支付為民 開戶不難丨風險服務兩手抓，多管齊下防電詐

最近，根據中國人民銀行、公安部、銀保監會的要求，我們集中開展了以“支付為民 開戶不難”為主題的一系列宣傳活動，并將相關要求嚴格落實到實際工作中。>>詳細

【努客兒安全課堂】冒充電商客服詐騙知多少

購物理賠操作請通過平臺官方網站或App進行，拒絕和所謂的“理賠客服”私下聯系，謹防以“刷流水”為由向指定賬戶轉賬的詐騙，切莫聽信不法分子騙詞。如果被騙，請及時報警。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年11月8日-14日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞484個，其中高危漏洞104個、中危漏洞328個、低危漏洞52個。漏洞平均分值為5.58。上周收錄的漏洞中，涉及0day漏洞344個（占71%），其中互聯網上出現“webTareas路徑遍歷漏洞、webTareas跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM InfoSphere Information Server是一個數據集成平臺，包含一系列產品，使您能夠理解、清理、監控、轉換及傳送數據，以及協作以彌合業務與IT之間的差距。Ibm InfoSphere DataStage Flow Designer是美國Ibm公司的一個基于 Web 的數據階段流程設計器。IBM Cognos Analytics是美國IBM公司的一套商業智能軟件，可提供有價值的信息、安全的數據治理和報告。IBM Security Guardium是美國IBM公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，非法執行SQL命令竊取數據庫敏感數據，越權訪問”新作業”頁面，遠程執行代碼等。

CNVD收錄的相關漏洞包括：IBM InfoSphere Information Server信息泄露漏洞（CNVD-2021-87010）、IBM Planning Analytics信息泄露漏洞（CNVD-2021-87013）、IBM InfoSphere DataStage Flow Designer代碼問題漏洞、IBM Sterling B2B Integrator授權問題漏洞（CNVD-2021-87017）、IBM Cognos Analytics權限提升漏洞（CNVD-2021-87015）、IBM Cognos Analytics遠程代碼執行漏洞、IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）。其中“IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei FusionCompute是中國華為（Huawei）公司的一款計算機虛擬化引擎。該產品提供虛擬資源管理器（VRM）和計算節點代理（CNA）等。Huawei AIS-BW50-00是中國華為（Huawei）公司的一款便攜式藍牙音箱。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致進程異常，劫持設備并偽造UI誘使用戶執行惡意命令，在特定場景下處理證書文件時進行命令注入，在目標設備中執行任意代碼等。

CNVD收錄的相關漏洞包括：Huawei Emui和Magic UI遠程DoS漏洞（CNVD-2021-84859）、Huawei Emui和Magic UI配置缺陷漏洞（CNVD-2021-84858、CNVD-2021-84860）、Huawei Emui和Magic UI目錄遍歷漏洞、Huawei Emui和Magic UI內存訪問越界漏洞、Huawei Emui和Magic UI劫持未經驗證提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授權問題漏洞。其中“Huawei Emui和Magic UI內存訪問越界漏洞、Huawei Emui和Magic UI劫持未經驗證提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授權問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Rust是Mozilla基金會的一款通用、編譯型編程語言。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞創建釋放后使用訪問，導致并發程序中的數據競爭的錯誤，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Mozilla Rust資源管理錯誤漏洞（CNVD-2021-85285、CNVD-2021-85301）、Mozilla Rust內存損壞漏洞、Mozilla Rust命令注入漏洞（CNVD-2021-85287）、Mozilla Rust緩沖區溢出漏洞（CNVD-2021-85300、CNVD-2021-85299、CNVD-2021-85298、CNVD-2021-85297、）。其中“Mozilla Rust資源管理錯誤漏洞（CNVD-2021-85301）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Chrome是由Google開發的一款Web瀏覽工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞獲取數據庫敏感信息，導致程序崩潰或者拒絕服務等。

CNVD收錄的相關漏洞包括：Google Chrome輸入驗證不足漏洞（CNVD-2021-84801）、Google Chrome WebApp Installer實現不當漏洞、Google Chrome釋放后重用漏洞（CNVD-2021-84803、CNVD-2021-84808）、Google Chrome iFrame Sandbox實現不當漏洞、Google Chrome競爭條件漏洞（CNVD-2021-84805）、Google Chrome越界讀取漏洞（CNVD-2021-84804）、Google Chrome Blink實現不當漏洞（CNVD-2021-84806）。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-823G命令注入漏洞（CNVD-2021-85889）

D-Link DIR-823G是一款AC1200M雙頻千兆無線路由器。上周，DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執行任意Web腳本。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用該漏洞獲取受影響組件敏感信息，非法執行SQL命令竊取數據庫敏感數據，越權訪問“新作業”頁面，遠程執行代碼等。此外，Huawei、Mozilla、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致進程異常，劫持設備并偽造UI誘使用戶執行惡意命令，在特定場景下處理證書文件時進行命令注入，在目標設備中執行任意代碼，獲取數據庫敏感信息，導致程序崩潰或者拒絕服務等。另外，D-Link DIR-823G被披露存在命令注入漏洞。攻擊者可通過登錄部分的Captcha字段中的shell元字符利用該漏洞執行任意Web腳本。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、第一財經、中國證券報、金融時報、中國郵政儲蓄銀行、網聯清算有限公司報道

責任編輯：韓希宇