國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞602個，互聯網上出現“BloofoxCMS跨站請求偽造漏洞、emlog路徑遍歷漏洞（CNVD-2021-39975）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《數據安全法》加速信創產業發展 企業爭奪千億規模工業軟件市場

伴隨著《數據安全法》的出臺，中國將逐步建立自己的IT底層架構和標準，形成自有的開放生態。>>詳細

數據安全保護法來了！CFCA助力金融機構滿足監管要求 高效開展業務

中國金融認證中心（CFCA）根據金融行業數據安全項目的實際經驗，總結出了數據安全治理的“IPDR”模型，金融機構可作為參考。>>詳細

以案說險：開展“斷卡”行動，合法使用賬戶

銀行工作人員要堅持按制度辦理業務，尤其是辦理開卡業務時一定要確認客戶本人自愿辦理卡片，且為本人使用。>>詳細

以為掌握“財富密碼”？實則是詐騙圈套！

在此，姣姣鄭重提示投資者：重視監管信號，摒棄僥幸心理，保持頭腦清醒，遠離虛擬貨幣，保護財產安全！>>詳細

合法使用和保護個人賬戶安全四部曲

根據監管有關規定及銀行卡（賬戶）章程和領用協議相關條款，銀行卡（賬戶）僅限本人用，不得出租、出售、出借銀行卡（賬戶）。>>詳細

期待以久的它來了—FIDO生物指紋認證

手機銀行開啟指紋認證后，您可直接使用指紋登錄手機銀行，免去輸入密碼，體驗更佳更安全，同時轉賬單筆限額從20萬提升至100萬，滿足您的大額轉賬需求！>>詳細

工業和信息化部辦公廳關于開展車聯網身份認證和安全信任試點工作的通知

試點單位研發建立車云通信身份認證、數據加密等技術能力，實現各類車云通信場景下的身份認證、數據機密性和完整性保護，構建車云通信安全保障能力。>>詳細

中國互聯網金融協會深入推動 “助力金融消費者權益保護”系列公益活動

協會組織相關單位圍繞數字化時代下規范從業機構市場行為、維護公平競爭金融市場秩序、提升公眾金融素養和風險意識、增進個人金融信息保護等方面。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年6月7日-13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞602個，其中高危漏洞227個、中危漏洞317個、低危漏洞58個。漏洞平均分值為6.21。上周收錄的漏洞中，涉及0day漏洞300個（占50%），其中互聯網上出現“BloofoxCMS跨站請求偽造漏洞、emlog路徑遍歷漏洞（CNVD-2021-39975）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Photoshop，簡稱“PS”，是由Adobe公司開發和發行的圖像處理軟件。Adobe After Effects（簡稱“AE”）是Adobe公司推出的一款圖形視頻處理軟件，適用于從事設計和視頻特技的機構，包括電視臺、動畫制作公司、個人后期制作工作室以及多媒體工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop緩沖區溢出漏洞（CNVD-2021-41059）、Adobe After Effects緩沖區溢出漏洞（CNVD-2021-41071、CNVD-2021-41070、CNVD-2021-41072）、Adobe After Effects堆緩沖區溢出漏洞（CNVD-2021-41067、CNVD-2021-41066、CNVD-2021-41069、CNVD-2021-41068）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens Solid Edge是德國Siemens公司的一款三維CAD軟件。Mendix SAML Module允許使用SAML對云應用程序中的用戶進行身份驗證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供者進行通信。Siemens Jt2go是德國Siemens公司的一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設計2D、3D場景提供團隊協作功能的軟件。SIMATIC RF185C、RF186C/CI和RF188C/CI是用于將圖像識別系統直接連接到PROFINET IO/以太網和OPC UA的通信模塊。SIMATIC RF300R是一款緊湊型RFID讀卡器。Simcenter Femap是一種高級仿真應用程序，用于創建、編輯和檢查復雜產品或系統的有限元模型。Siemens SmartVNC是德國西門子（Siemens）公司的一個工控設備。提供一個訪問HMI中的smartserver功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在當前進程的上下文中執行代碼，造成拒絕服務情況。

CNVD收錄的相關漏洞包括：Siemens Solid Edge越界寫入漏洞（CNVD-2021-40500）、Siemens Mendix SAML Module權限提升漏洞、Siemens JT2Go和Teamcenter Visualization越界寫入漏洞（CNVD-2021-40498）、Siemens SIMATIC RFID Readers拒絕服務漏洞、Siemens Simcenter Femap越界寫入漏洞（CNVD-2021-40502）、Siemens Solid Edge越界寫入漏洞（CNVD-2021-40501）、Siemens Simcenter Femap越界寫入漏洞、Siemens SmartVNC越界內存訪問漏洞。其中，除“Siemens SmartVNC越界內存訪問漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是一款以Linux為基礎的開源操作系統。Chrome是由Google開發的一款Web瀏覽工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面利用堆損壞，進行特權升級。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2021-41110、CNVD-2021-41113、CNVD-2021-41112、CNVD-2021-41111、CNVD-2021-41115）、Google Android輸入驗證錯誤漏洞（CNVD-2021-41116）、Google Chrome釋放后重用漏洞（CNVD-2021-41140、CNVD-2021-41139）。其中，“Google Android權限提升漏洞（CNVD-2021-41110、CNVD-2021-41111）、Google Android輸入驗證錯誤漏洞（CNVD-2021-41116）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft SharePoint是美國微軟（Microsoft）公司的一套企業業務協作平臺。該平臺用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Paint 3D是Windows 10免費附帶的創意應用程序，支持用戶使用2D和3D工具創建創意項目。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在目標主機上執行代碼，欺騙內容并誘導用戶相信該網站的合法性，同時結合網頁服務中的其他漏洞發起攻擊。

CNVD收錄的相關漏洞包括：Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2021-41120、CNVD-C-2021-142456、CNVD-2021-41118）、Microsoft SharePoint Server欺騙漏洞（CNVD-2021-41122）、Microsoft SharePoint Server信息泄露漏洞（CNVD-2021-41121）、Microsoft Paint 3D遠程代碼執行漏洞（CNVD-2021-41127、CNVD-2021-41126、CNVD-2021-41125）。其中，“Google Android權限提升漏洞（CNVD-2021-41110、CNVD-2021-41111）、Google Android輸入驗證錯誤漏洞（CNVD-2021-41116）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-868L信息泄露漏洞

D-Link DIR-868L是一款無線AC1750雙頻千兆云路由器。上周，D-Link DIR-868L被披露存在信息泄露漏洞。攻擊者可通過反編譯固件利用該漏洞訪問固件并提取敏感數據。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Siemens、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面利用堆損壞，進行特權升級，在當前進程的上下文中執行代碼，造成拒絕服務情況等。另外，D-Link DIR-868L被披露存在信息泄露漏洞。攻擊者可通過反編譯固件利用該漏洞訪問固件并提取敏感數據。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工業和信息化部、中國互聯網金融協會、第一財經、交通銀行微銀行、廣發銀行、上銀微動態、邢臺銀行報道

責任編輯：韓希宇