國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞620個，互聯網上出現“B2evolution跨站腳本漏洞（CNVD-2021-100271）、ZZCMS SQL注入漏洞（CNVD-2021-99769）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

全力引入智能科技手段：銀行打造消費者權益保護新格局

今年以來，各銀行業金融機構通過完善消費者權益保護工作機制建設、加強消費者金融知識宣傳教育、全力引入智能科技手段阻斷電信詐騙等舉措，切實提升消費者權益保護工作能力與水平。>>詳細

數據誤用、泄露危害大！企業如何搭上大數據安全管理“快車”？

數據安全治理需要從業務戰略和風險分析出發，將管理和技術相結合，對數據資產進行梳理，確定數據分類分級，根據對威脅源、攻擊方式、數據資產、業務風險的識別，制定數據安全管理策略。>>詳細

2021信創“大比武”活動圓滿收官 五大賽道信創精英蓄勢再啟航！

2021信創“大比武”活動包含金融場景適配驗證等五大賽道，于2021年7月正式啟動，12月五大賽道全部圓滿收官。>>詳細

方寸卡片中的金融知識：警惕辦卡“黑中介”

當前，一些黑中介辦卡行為“大行其道”，對我們的資金安全造成極大的威脅。黑中介辦卡騙局套路多？無須苦惱，快來學習如何“見招拆招”！>>詳細

“圍獵”開源軟件風險 CFCA推出開源技術安全治理方案

為了幫助開源技術應用機構更好地滿足監管要求與客戶需求，促進國內開源技術健康合規發展，國內相關數字安全從業機構一直在研究、推動開源技術治理工作，并形成了開源技術一體化解決方案。>>詳細

【反洗錢小課堂】不要出租自己的賬戶替他人提現！

不要輕易受朋友之托或受利益誘惑，使用自己的個人賬戶或公司賬戶為他人提取現金，為他人洗錢提供便利。>>詳細

抵制非法買賣賬戶，守護金融信息安全

不出租/出借/出售金融賬戶、銀行卡和U盾，既是對您權利的保護，也是守法公民應盡的義務。>>詳細

微眾銀行隱私保護方案WeDPR榮獲可信區塊鏈高價值案例

方案依托區塊鏈等分布式可信智能賬本技術，融合學術界、產業界隱私保護前沿成果，兼顧用戶體驗和監管治理，針對隱私保護核心應用場景提供極致優化的技術方案。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年12月13日-19日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞620個，其中高危漏洞195個、中危漏洞351個、低危漏洞74個。漏洞平均分值為5.75。上周收錄的漏洞中，涉及0day漏洞303個（占49%），其中互聯網上出現“B2evolution跨站腳本漏洞（CNVD-2021-100271）、ZZCMS SQL注入漏洞（CNVD-2021-99769）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Huawei產品安全漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞導致越界讀取，內核崩潰，設備重啟等 。

CNVD收錄的相關漏洞包括：Huawei HarmonyOS堆棧緩沖區溢出漏洞、Huawei HarmonyOS輸入驗證錯誤漏洞（CNVD-2021-99974、CNVD-2021-99973、CNVD-2021-99977、CNVD-2021-99978、CNVD-2021-99981）、Huawei HarmonyOS分布式文件組件空指針訪問漏洞、Huawei Emui和Magic UI編解碼器檢測模塊內存泄露漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞通過探測加載外部協議的錯誤消息來識別已安裝的應用程序，重定向URL到惡意網站，導致緩沖區溢出等。

CNVD收錄的相關漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2021-99616）、Mozilla Firefox跨站腳本漏洞（CNVD-2021-99615、CNVD-2021-99622）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2021-99619）、Mozilla Firefox條件競爭問題漏洞、Mozilla Firefox緩沖區溢出漏洞（CNVD-2021-99625）、Mozilla Firefox輸入驗證錯誤漏洞（CNVD-2021-99624）、Mozilla Firefox訪問控制錯誤漏洞（CNVD-2021-99623）。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是美國谷歌（Google）公司的的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Google Chrome Swiftshader緩沖區溢出漏洞（CNVD-2021-100599）、Google Chrome file API代碼執行漏洞、Google Chrome Swiftshader代碼執行漏洞（CNVD-2021-100601）、Google Chrome ANGLE安全繞過漏洞、Google Android權限提升漏洞（CNVD-2021-100605、CNVD-2021-100604）、Google Chrome autofill安全繞過漏洞（CNVD-2021-100607）、Google Chrome extensions緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Spectrum Copy Data Management是美國國際商業機器公司（IBM）的實現數據中心副本管理流程的現代化、簡化和自動化。IBM DB2是一套關系型數據庫管理系統。IBM Cloud Pak for Security(CP4S)是一個開放式安全平臺，可連接到您的現有數據源，生成更深入的洞察，并使您能夠利用自動化功能更快采取行動。IBM WebSphere Application Server是一款應用服務器產品。該產品是JavaEE和Web服務應用程序的平臺，也是IBMWebSphere軟件平臺的基礎。Jazz是IBM Rational面向軟件交付技術的下一代協作平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞泄露敏感信息或消耗內存資源，訪問其他數據庫并讀取或修改文件等。

CNVD收錄的相關漏洞包括：IBM Spectrum Copy Data Management加密問題漏洞、IBM DB2信息泄露漏洞（CNVD-2021-99669）、IBM Cloud Pak for Security授權問題漏洞、IBM Db2權限提升漏洞（CNVD-2021-99672）、IBM Db2訪問控制錯誤漏洞、IBM WebSphere Application Server拒絕服務漏洞（CNVD-2021-99670）、IBM Jazz for Service Management跨站腳本漏洞（CNVD-2021-99676）、IBM Jazz for Service Management XML外部實體注入漏洞。其中，“IBM Cloud Pak for Security授權問題漏洞、IBM Db2訪問控制錯誤漏洞、IBM WebSphere Application Server拒絕服務漏洞（CNVD-2021-99670）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Amazon WorkSpaces緩沖區溢出漏洞

Philips Healthcare Tasy Electronic Medical Record (EMR)是一個全面的醫療信息學解決方案，涉及醫療環境的所有領域，將醫療保健連續體中臨床和非臨床領域的點連接起來。上周，Philips Healthcare Tasy Electronic Medical Record (EMR)被披露存在SQL注入漏洞。攻擊者可通過CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO參數利用該漏洞進行SQL注入攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Huawei產品被披露存在多個漏洞，攻擊者可利用該漏洞導致越界讀取，內核崩潰，設備重啟等。此外，Mozilla、Google、IBM等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞泄露敏感信息，提升權限，執行任意代碼，導致拒絕服務，緩沖區溢出等。另外，Amazon WorkSpaces被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞在內核模式下執行任意代碼或通過特制的I/O請求數據包導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、金融時報、交通銀行微銀行、上海銀行、廣州農村商業銀行報道

責任編輯：王超