國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞581個，互聯網上出現“OpenEMR操作系統命令注入漏洞、PHPGurukul Online Book Store任意文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

最高法發文明確銀行卡盜刷責任認定

銀行卡盜刷交易認定的著眼點是“持卡人賬戶發生非因本人意思的資金減少或者透支數額增加的行為”，該交易不是持卡人本人授權交易。>>詳細

此類騙子套路，讓電商平臺客服“背鍋”

涉及資金交易需謹慎，如有陌生人以“提高信用積分”、“補充轉賬流水”為由要求您開通網貸業務或是向指定賬戶匯款，不要輕易相信。>>詳細

【安全課堂】遇到此類網絡交友詐騙套路，請拉黑

隨著網絡社交平臺的興起，一些詐騙分子戴上偽善的面具，利用網絡空間的隱蔽性，在社交平臺與他人結識并交好，而實際企圖卻是對方的錢財。>>詳細

如何提升醫療機構數據安全防護能力？這三個建議請收好！

針對評估檢查出來的數據安全風險，醫療機構可列出相應的安全控制措施，根據需要采取相應處置措施，并將風險降低到可接受范圍內。>>詳細

淺談郵件釣魚|釣的是人，也是人心

通過了解郵件釣魚的攻擊方式、思路、方法，嘗試通過釣魚郵件模擬、測試是學習郵件釣魚、樹立員工釣魚郵件安全意識的一種有效方式。>>詳細

【安全小課堂】電腦上遮蓋一塊布？要不要這么聽話！

最近，冒充公檢法的電信詐騙案件增多，騙子的詐騙手法不斷更新迭代，但最終目的只有一個，就是騙你轉賬！>>詳細

國家互聯網應急中心發布《2020年我國互聯網網絡安全態勢綜述》

為全面反映我國網絡安全的整體態勢，CNCERT自2010年以來，每年發布前一年度網絡安全態勢情況綜述，至今已連續發布12年，對我國黨政機關、行業企業及社會了解我國網絡安全形勢，提高網絡安全意識，做好網絡安全工作提供了有力參考。>>詳細

【知識】以案說險 | 如何防范信用卡被盜刷

遇到盜刷莫慌張，請第一時間凍結或掛失卡片，并與發卡機構取得聯系。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年5月17日-23日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞581個，其中高危漏洞120個、中危漏洞374個、低危漏洞87個。漏洞平均分值為5.40。上周收錄的漏洞中，涉及0day漏洞323個（占56%），其中互聯網上出現“OpenEMR操作系統命令注入漏洞、PHPGurukul Online Book Store任意文件上傳漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTML頁面執行域欺騙，繞過安全限制，執行任意代碼或造成拒絕服務等。

CNVD收錄的相關漏洞包括：Google Chrome Dev Tools代碼執行漏洞、Google Chrome ANGLE堆緩沖區溢出漏洞、Google Chrome UI下載安全繞過漏洞、Google Chrome IndexedDB代碼執行漏洞、Google Chrome Network安全繞過漏洞、Google Chrome安全繞過漏洞（CNVD-2021-35168）、Google Chrome Blink代碼執行漏洞、Google Chrome navigation安全繞過漏洞。其中，“Google Chrome ANGLE堆緩沖區溢出漏洞、Google Chrome UI下載安全繞過漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit Reader是中國福昕（Foxit）公司的一款PDF文檔閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Foxit Reader U3D文件解析越界讀取信息泄露漏洞（CNVD-2021-36471、CNVD-2021-36468、CNVD-2021-36473、CNVD-2021-36472）、Foxit Reader U3D文件解析越界寫入遠程代碼執行漏洞、Foxit Reader U3D文件解析越界讀取遠程代碼執行漏洞、Foxit Reader app.media遠程代碼執行漏洞、Foxit Reader U3D文件解析雙重釋放遠程代碼執行漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Jetbrains產品安全漏洞

JetBrains IntelliJ IDEA是捷克JetBrains公司的一套適用于Java語言的集成開發環境。JetBrains TeamCity是捷克JetBrains公司的一套分布式構建管理和持續集成工具。該工具提供持續單元測試、代碼質量分析和構建問題分析報告等功能。JetBrains Code With Me是捷克JetBrains公司的一款可為IntelliJ IDE提供代碼協同編輯的插件應用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行客戶端代碼等。

CNVD收錄的相關漏洞包括：JetBrains IntelliJ IDEA拒絕服務漏洞、JetBrains TeamCity服務端請求偽造漏洞、JetBrains TeamCity跨站腳本漏洞（CNVD-2021-35241）、JetBrains IntelliJ IDEA外部實體注入漏洞、JetBrains TeamCity遠程代碼執行漏洞、JetBrains TeamCity信任管理問題漏洞（CNVD-2021-35238）、JetBrains IntelliJ IDEA本地代碼執行漏洞、JetBrains Code With Me代碼執行漏洞。其中，“JetBrains TeamCity遠程代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是WordPress（Wordpress）基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。Wordpress WP Customer Reviews是（Wordpress）開源的一個應用插件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發起跨站腳本攻擊，導致遠程代碼執行等。

CNVD收錄的相關漏洞包括：WordPress Redirection for Contact Form 7 Plugin訪問控制不當漏洞（CNVD-2021-36044）、WordPress Redirection for Contact Form 7 Plugin PHP對象注入漏洞、WordPress Business Directory Plugin遠程代碼執行漏洞、WordPress Ultimate Maps by Supsystic Plugin跨站腳本漏洞、WordPress Elements Kit Lite and Elements Kit Pro Plugin跨站腳本漏洞、Wordpress WP Customer Reviews跨站腳本漏洞、WordPress plugin跨站腳本漏洞（CNVD-2021-36524、CNVD-2021-36523）。其中，“WordPress Redirection for Contact Form 7 Plugin訪問控制不當漏洞（CNVD-2021-36044）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

OpenClinic GA權限提升漏洞

OpenClinic GA是一套開源的醫院信息管理系統。該系統支持財務管理、臨床管理和實驗室管理等功能。上周，OpenClinic GA被披露存在權限提升漏洞。該漏洞源于默認權限錯誤。攻擊者可通過覆蓋二進制文件利用該漏洞導致特權升級。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTML頁面執行域欺騙，繞過安全限制，執行任意代碼或造成拒絕服務等。此外，Foxit、Jetbrains、WordPress等多款產品被披露存在多個漏洞，攻擊者可利用漏洞發起跨站腳本攻擊，獲取敏感信息，執行客戶端代碼等。另外，OpenClinic GA被披露存在權限提升漏洞。攻擊者可通過覆蓋二進制文件利用該漏洞導致特權升級。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家互聯網應急中心CNCERT、中國證券報·中證網、中國工商銀行電子銀行、中國光大銀行、杭州銀行報道

責任編輯：韓希宇