國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞622個，互聯網上出現“Rescue Dispatch Management System SQL注入漏洞（CNVD-2022-53913）、TOTOLINK EX1200T命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部：加快建立數據分類分級保護、跨境數據流動監管等基本規則

近年來網絡安全產業綜合實力顯著增強，未來應完善制度規則，強化行業數據安全治理能力，加快建立數據分類分級保護、跨境數據流動監管等基本規則。>>詳細

工行構筑智能反詐“防護墻” 為客戶避免損失超百億

截至2022年6月末，工行通過自主研發的“融安e信”大數據風控智能服務平臺，累計攔截電信詐騙風險交易近50萬筆，為客戶避免資金損失超過117億元。>>詳細

【服務】借記卡支付密碼鎖定怎么辦？

為了您的資金和信息安全，請不要把您的銀行賬號、密碼以任何方式告知他人，不要將銀行發送給您的短信驗證碼以任何方式告知他人。>>詳細

工信部組織開展電子認證服務合規性專項整治工作

本次專項整治工作主要面向經工業和信息化部許可的55家電子認證服務機構自2017年7月起提供的電子認證服務，開展時間為通知印發之日起至今年10月30日。>>詳細

【以案說險】提防買賣銀行卡 警銀聯合防電詐

廣大消費者應充分認識電信網絡詐騙的危害性，不斷增強個人金融信息保護意識，樹立理性消費觀念，不貪戀、不攀比、不盲從，切勿將本人身份證件、銀行卡轉借他人使用，謹防落入電信網絡詐騙陷阱。>>詳細

【安全課堂】謹防“清退回款”騙局！小京教你如何防范

以“清退回款”為名義的新型騙局正在蔓延，請擦亮雙眼，守護好個人財產安全，提高防范意識和識別能力，避免誤入“清退回款”騙局。>>詳細

【安全】別信！這是冒用“社?！泵x的詐騙！

凡以社保名義的來信或來電涉及轉賬匯款或索要個人信息的，請撥打當地12333電話或到社保經辦機構現場核實，謹防上當受騙。>>詳細

【消保黔行】那些年我們收到過的短信詐騙

雖然現在溝通很少用短信了，但是我們每天還是會收到各種銀行交易提示、服務提醒，其中，就有一些詐騙短信混入其中，讓心寶兒帶你來一一辨別。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年7月25日-31日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞622個，其中高危漏洞181個、中危漏洞243個、低危漏洞198個。漏洞平均分值為5.14。上周收錄的漏洞中，涉及0day漏洞470個（占76%），其中互聯網上出現“Rescue Dispatch Management System SQL注入漏洞（CNVD-2022-53913）、TOTOLINK EX1200T命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，使用解析代碼中的錯誤來遠程使調制解調器崩潰，導致遠程權限提升等。

CNVD收錄的相關漏洞包括：Google Android越界讀取漏洞（CNVD-2022-53368、CNVD-2022-53384）、Google Android緩沖區溢出漏洞（CNVD-2022-53367）、Google Android越界寫入漏洞（CNVD-2022-53369、CNVD-2022-53385）、Google Android信息泄露漏洞（CNVD-2022-53372、CNVD-2022-53381、CNVD-2022-53380）。其中， “Google Android越界讀取漏洞（CNVD-2022-53368）、Google Android緩沖區溢出漏洞（CNVD-2022-53367）、Google Android越界寫入漏洞（CNVD-2022-53369、CNVD-2022-53385）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cybozu產品安全漏洞

Cybozu Garoon是日本才望子（Cybozu）公司的一套門戶型OA辦公系統。該系統提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，禁用添加類別，更改數據，并在用戶瀏覽器中在易受攻擊的網站上下文中執行任意HTML和腳本代碼等。

CNVD收錄的相關漏洞包括：Cybozu Garoon授權問題漏洞（CNVD-2022-53804、CNVD-2022-54300、CNVD-2022-54304）、Cybozu Garoon輸入驗證錯誤漏洞（CNVD-2022-53806、CNVD-2022-54301、CNVD-2022-54303）、Cybozu Garoon操作限制繞過漏洞（CNVD-2022-54299）、Cybozu Garoon跨站腳本漏洞（CNVD-2022-54343）。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。Huawei Emui是中國Huawei公司的一款基于Android開發的移動端操作系統。Honor Magic Ui是中國Honor公司的一款基于Android開發的移動端操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提交特殊的請求，越界訪問，進行拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Huawei HarmonyOS拒絕服務漏洞（CNVD-2022-53575、CNVD-2022-53574）、Huawei HarmonyOS資源管理錯誤漏洞（CNVD-2022-53578、CNVD-2022-53579）、Huawei HarmonyOS權限控制錯誤漏洞、Huawei HarmonyOS拒絕服務漏洞（CNVD-2022-53576）、Huawei Emui和Honor Magic Ui緩沖區溢出漏洞、Huawei EMUI輸入驗證拒絕服務漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞通過多種協議訪問網絡破壞MySQL Server，進而導致MySQL Server掛起或頻繁重復崩潰（完全拒絕服務）。

CNVD收錄的相關漏洞包括：Oracle MySQL Server拒絕服務漏洞（CNVD-2022-54312、CNVD-2022-54311、CNVD-2022-54310、CNVD-2022-54313、CNVD-2022-54315、CNVD-2022-54314、CNVD-2022-54317、CNVD-2022-54316）。目前，廠商已經發布了上述漏洞的修補程序。

Apache HTTP Server輸入驗證錯誤漏洞

Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。上周，Apache HTTP Server被披露存在輸入驗證錯誤漏洞，該漏洞源于對調用r：parsebody(0)的lua腳本的惡意請求輸入未能限制，攻擊者利用該漏洞導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，使用解析代碼中的錯誤來遠程使調制解調器崩潰，導致遠程權限提升等。此外，Cybozu、Huawei、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，禁用添加類別，更改數據，并在用戶瀏覽器中在易受攻擊的網站上下文中執行任意HTML和腳本代碼，進行拒絕服務攻擊等。另外，Apache HTTP Server被披露存在輸入驗證錯誤漏洞，攻擊者利用該漏洞導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國證券報·中證網、工業和信息化部信息技術發展司、中國工商銀行、中國農業銀行微銀行、中國建設銀行、中國郵政儲蓄銀行、北京銀行微銀行、貴州銀行報道

責任編輯：韓希宇