國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞320個，互聯網上出現“Contec SolarView Compact遠程代碼執行漏洞、Swftools緩沖區溢出漏洞（CNVD-2022-62209）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信    息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

關于公開征求《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》意見的通知

關鍵信息基礎設施的運營者違反本法第三十七條規定，在境外存儲網絡數據，或者向境外提供網絡數據的，依照有關法律、行政法規的規定處罰。>>詳細

【警惕】@新市民，謹防詐騙套路，維護自身權益！

日常生活中要注意保護好個人信息，防止個人資料外泄，不給詐騙分子可乘之機。面對陌生電話信息凡是涉及借款、匯款等問題時，一定要核實對方身份，比如撥打對方的常用號碼，或者用視頻聊天仔細詢問后再做決定。>>詳細

【警惕】反詐安全小課堂第四期—投資理財類詐騙

不盲目輕信一些所謂的“內幕消息”“大師推薦”，不盲目加入未經核實的投資理財群，不盲目跟隨群里人進行投資理財。>>詳細

【小河講反洗錢】刷單被騙 反成嫌疑人

幫助信息網絡犯罪活動罪是指，明知他人利用信息網絡實施犯罪，為其犯罪提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持，或者提供廣告推廣、支付結算等幫助。>>詳細

數字藏品的洗錢風險如何預防？

國內數字藏品行業處于“初生階段”，仍舊存在市場不規范、監管不明確等空白情況。>>詳細

“退保黑產”為何屢禁不絕？北京銀保監局發文提示防范五大“套路”

近年來，始終有不法分子打著為消費者“維權”的旗號，專門辦理所謂“代理退?！睒I務，實則以“維權”之名騙取消費者資金。>>詳細

不止搞定看不懂的病歷本 電子認證解決方案治愈醫療信息“頑疾”

醫療系統數字化的建設過程面臨諸多挑戰，例如：醫療系統的數據泄露、醫生手寫簽名真假難辨識且容易篡改、紙質病歷保存困難且存在紙張浪費等問題。>>詳細

三部門聯合發布《互聯網彈窗信息推送服務管理規定》

《規定》旨在加強對彈窗信息推送服務的規范管理，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益，促進互聯網信息服務健康有序發展。>>詳細

【飛燕消保衛士】警惕過度借貸營銷誘導，樹立理性消費觀

提高保護個人信息安全意識，不隨意簽字授權，不隨意委托他人簽訂協議、授權他人辦理金融業務，保管好個人重要信息，避免給不法分子可乘之機。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年9月5日-11日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞320個，其中高危漏洞117個、中危漏洞166個、低危漏洞37個。漏洞平均分值為6.14。上周收錄的漏洞中，涉及0day漏洞206個（占64%），其中互聯網上出現“Contec SolarView Compact遠程代碼執行漏洞、Swftools緩沖區溢出漏洞（CNVD-2022-62209）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Microsoft產品安全漏洞

Microsoft Windows Print Spooler是美國微軟（Microsoft）公司的一個打印后臺處理程序組件。Microsoft Windows Win32k是美國微軟（Microsoft）公司的一個用于Windows多用戶管理的系統文件。Microsoft Windows Kerberos是美國微軟（Microsoft）公司的一個用于在網絡集群中進行身份驗證的軟件。Kerberos同時作為一種網絡認證協議，其設計目標是通過密鑰系統為客戶機/服務器應用程序提供強大的認證服務。Microsoft Hyper-V是美國微軟（Microsoft）公司的一個應用程序。一種系統管理程序虛擬化技術，能夠實現桌面虛擬化。Microsoft Windows是一款由美國微軟公司開發的窗口化操作系統。Microsoft Windows Cluster Shared Volume是美國微軟（Microsoft）公司的一項功能。Microsoft Hyper-V是美國微軟（Microsoft）公司的一個應用程序。一種系統管理程序虛擬化技術，能夠實現桌面虛擬化。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，造成拒絕服務情況等。

CNVD收錄的相關漏洞包括：Microsoft Windows Print Spooler權限提升漏洞（CNVD-2022-62513、CNVD-2022-62512）、Microsoft Windows Win32k權限提升漏洞（CNVD-2022-62516）、Microsoft Windows Kerberos權限提升漏洞、Microsoft Windows Hyper-V Shared Virtual Hard Disks信息泄露漏洞（CNVD-2022-62514）、Microsoft Windows DNS Server遠程代碼執行漏洞、Microsoft Windows Cluster Shared Volume (CSV) 拒絕服務漏洞、Microsoft Windows Hyper-V Shared Virtual Hard Disks信息泄露漏洞。其中，“Microsoft Windows DNS Server遠程代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-61747、CNVD-2022-61746、CNVD-2022-61751、CNVD-2022-61754）、Google Android信息泄露漏洞（CNVD-2022-61749、CNVD-2022-61753）、Google Android越界寫入漏洞（CNVD-2022-61752）、Google Android遠程代碼執行漏洞（CNVD-2022-61757）。其中，“Google Android權限提升漏洞（CNVD-2022-61747、CNVD-2022-61751）、Google Android越界寫入漏洞（CNVD-2022-61752）、Google Android遠程代碼執行漏洞（CNVD-2022-61757）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Maximo Asset Management是美國IBM公司的一套綜合性資產生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產，如設施、交通運輸等，并對這些資產實現單點控制。IBM Security Identity Manager（ISIM）是美國IBM公司的一套身份管理和治理解決方案。該方案可在整個用戶生命周期內自動創建、修改、重新認證和終止用戶特權，并支持基于策略的密碼管理。IBM Sterling B2B Integrator是美國IBM公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。IBM App Connect Enterprise是美國IBM公司的一個操作系統。IBM App Connect Enterprise 將現有業界信任的 IBM Integration Bus 技術與 IBM App Connect Professional 以及新的云本機技術進行了組合，提供一個可滿足現代數字企業全面集成需求的平臺。IBM Engineering Requirements Quality Assistant是美國IBM公司的一款基于Watson AI用于輔助開發人員提高工程需求質量的軟件。該應用可顯著降低發現缺陷成本，有利于盡早發現工程流程中的需求錯誤，加快產品上市。IBM Sterling File Gateway是美國IBM公司的一套文件傳輸軟件。該軟件可整合不同的文件傳輸活動中心，并幫助基于文件的數據通過因特網實現安全交換。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，偽造用戶身份，發送惡意請求，執行非法SQL命令竊取數據庫敏感數據，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Maximo Asset Management跨站腳本漏洞（CNVD-2022-61905）、IBM Security Identity Manager開放重定向漏洞、IBM Sterling B2B Integrator授權問題漏洞（CNVD-2022-61908）、IBM Sterling B2B Integrator跨站腳本漏洞（CNVD-2022-61907）、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2022-61906）、IBM App Connect Enterprise拒絕服務漏洞、IBM Engineering Requirements Quality Assistant跨站請求偽造漏洞、IBM Sterling File Gateway信息泄露漏洞（CNVD-2022-61909）。其中，“IBM Sterling B2B Integrator授權問題漏洞（CNVD-2022-61908）、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2022-61906）、IBM Engineering Requirements Quality Assistant跨站請求偽造漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Avro是美國阿帕奇（Apache）基金會的一個數據序列化系統。為Apache Hadoop提供數據序列化和數據交換服務。Apache JSPWiki是美國阿帕奇（Apache）基金會的一款基于Java、Servlet和JSP構建的開源WikiWiki引擎。Apache Shiro是一個使用的Java安全框架，功能包括身份驗證、授權、加密和會話管理。Apache Sling是美國阿帕奇（Apache）基金會的一個 Java 平臺的開源Web框架。旨在在符合 JSR-170 的內容存儲庫（例如 Apache Jackrabbit ）上創建以內容為中心的應用程序。Apache Hadoop是美國阿帕奇（Apache）基金會的一套開源的分布式系統基礎架構。Apache Apisix是美國阿帕奇（Apache）基金會的一個云原生的微服務API網關服務。該軟件基于 OpenResty 和 etcd 來實現，具備動態路由和插件熱加載，適合微服務體系下的 API 管理。Apache Commons Compress是美國阿帕奇（Apache）基金會的一個用于處理壓縮文件的庫。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過網絡限制，提升權限，導致程序崩潰等。

CNVD收錄的相關漏洞包括：Apache Avro拒絕服務漏洞、Apache JSPWiki跨站請求偽造漏洞（CNVD-2022-61913）、APACHE SHIRO身份驗證繞過漏洞、Apache Sling日志注入漏洞、Apache Hadoop參數注入漏洞、Apache APISIX訪問控制錯誤漏洞、Apache Commons Compress資源管理錯誤漏洞（CNVD-2022-62077）、Apache Airflow授權問題漏洞（CNVD-2022-62076）。其中，除“Apache Sling日志注入漏洞、Apache APISIX訪問控制錯誤漏洞、Apache Commons Compress資源管理錯誤漏洞（CNVD-2022-62077）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

LibreHealth EHR跨站腳本漏洞（CNVD-2022-62206）

LibreHealth EHR是一個以臨床為中心的電子健康記錄 (EHR) 系統，其設計既易于開箱即用使用，也可定制用于各種醫療保健環境。上周，LibreHealth EHR被披露存在跨站腳本漏洞。該漏洞源于interface/main/finder/finder_navigation.php頁面對于參數缺少過濾和轉義。攻擊者可利用該漏洞在客戶端執行JavaScript代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，造成拒絕服務情況等。此外，Google、IBM、Apache等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過網絡限制，獲取敏感信息，提升權限，在系統上執行任意代碼，導致拒絕服務等。另外，LibreHealth EHR被披露存在跨站腳本漏洞。攻擊者可利用該漏洞在客戶端執行JavaScript代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、網信中國、中國農業銀行微銀行、南京銀行、河北銀行、常熟農商銀行報道

責任編輯：韓希宇