國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞485個，互聯網上出現“Wuzhi CMS SQL注入漏洞（CNVD-2021-66056）、Nuance Winscribe Dictation SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

圖解｜勒索軟件防范指南

黑客利用勒索軟件，通過加密用戶數據、更改配置等方式，使用戶資產或資源無法正常使用，并以此為條件要求用戶支付費用以獲得解密密碼或者恢復系統正常運行。>>詳細

反詐拒賭，建設銀行全力以赴守護客戶資金安全

為應對復雜多變的涉賭涉詐風險形勢，建行強化大數據、知識圖譜、機器學習等新一代金融科技在風控領域的探索應用，依托高精度模型率先實現對涉賭涉詐可疑交易的事中攔截，避免客戶資金損失。>>詳細

北京銀保監局等四方共建保險反欺詐交流會商機制

北京銀保監局、北京市公安局經偵總隊、北京保險行業協會，以及中國銀行保險信息技術管理有限公司四方聯合簽署《保險反欺詐交流會商機制》，開啟了北京地區保險反欺詐警保協作的新篇章。>>詳細

消?？俊捌帧?| 共建清朗網絡空間—青少年防騙指南

警惕“屏幕共享”“未知鏈接”，拒絕“協助操作”“查看問題”，謹防密碼泄露、手機被操控。>>詳細

消保小課堂：電信詐騙大揭秘！

深圳農商銀行消保小衛士溫馨提示，電信網絡詐騙手法千變萬化，但萬變不離其宗，記住“三不一多”原則：未知鏈接不點擊，陌生來點不輕信，個人信息不透露，轉賬匯款多核實。>>詳細

【消保微課堂】個人貸款的那些事兒

隨著公眾消費觀念的轉變，個人貸款的需求不斷增大，向銀行申請貸款的現象在人們的日常生活中越來越普遍。作為金融消費者，了解個人貸款的相關嘗試就顯得非常有必要。>>詳細

請注意，警惕非法集資

要認清非法集資的本質和危害，提高識別能力，自覺抵制各種誘惑。堅信“天上不會掉餡餅”，對“高額回報”“快速致富”的投資項目進行冷靜分析，避免上當受騙。>>詳細

防范被套路 讓電信詐騙遠離你我 郵儲銀行廣州市分行為儲戶挽回資金損失

郵儲銀行廣州市分行提醒廣大客戶，警方及銀行不會通過電話或社交賬號通知您要求核查資金，或將錢款轉移到安全賬戶。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年8月23日-29日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞485個，其中高危漏洞127個、中危漏洞319個、低危漏洞39個。漏洞平均分值為5.69。上周收錄的漏洞中，涉及0day漏洞272個（占56%），其中互聯網上出現“Wuzhi CMS SQL注入漏洞（CNVD-2021-66056）、Nuance Winscribe Dictation SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

F5產品安全漏洞

F5 BIG-IP是F5公司的一款集成了網絡流量編排、負載均衡。智能DNS，遠程接入策略管理等功能的應用交付平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前登錄用戶的上下文中執行JavaScript，在BIG-IP系統上造成拒絕服務等。

CNVD收錄的相關漏洞包括：F5 BIG-IP TMUI跨站腳本漏洞、F5 BIG-IP Advanced WAF and ASM TMUI服務端請求偽造漏洞、F5 BIG-IP TMM拒絕服務漏洞（CNVD-2021-65649、CNVD-2021-65648、CNVD-2021-65647）、F5 BIG-IP DNS拒絕服務漏洞、F5 BIG-IP Advanced WAF and ASM WebSocket拒絕服務漏洞、F5 BIG-IP TMUI遠程命令執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用該漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows/Windows Server遠程代碼執行漏洞（CNVD-2021-65596、CNVD-2021-65602、CNVD-2021-65601、CNVD-2021-65600 CNVD-2021-65599、CNVD-2021-65605、CNVD-2021-65604、CNVD-2021-65603）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Reader（舊名：Foxit Reader）是一套用來閱讀PDF格式文件的軟件，由福建福昕軟件所研發。上周，上述產品被披露存在釋放后重用漏洞漏洞，攻擊者可利用該漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Reader釋放后重用漏洞（CNVD-2021-64088、CNVD-2021-64087、CNVD-2021-64090、CNVD-2021-64089、CNVD-2021-64092、CNVD-2021-64091、CNVD-2021-64093、CNVD-2021-64096）。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Huawei Magic UI是榮耀手機的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致代碼注入，遠程執行命令，獲取系統權限等。

CNVD收錄的相關漏洞包括：Huawei EMUI/Magic UI輸入驗證漏洞（CNVD-2021-64497、CNVD-2021-64498）、Huawei EMUI/Magic UI內存地址越界漏洞、Huawei EMUI/Magic UI整數溢出漏洞（CNVD-2021-64510、CNVD-2021-64524）、Huawei EMUI/Magic UI反序列化漏洞、Huawei EMUI/Magic UI UAF漏洞、Huawei EMUI/Magic UI權限控制漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TOTOLINK A3002R跨站腳本漏洞

TOTOLINK A3002RU是一款AC1200無線雙頻千兆路由器。上周，TOTOLINK A3002R被披露存在跨站腳本漏洞。攻擊者可通過修改“服務名稱”字段利用該漏洞執行任意JavaScript。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，F5產品被披露存在多個漏洞，攻擊者可利用漏洞在當前登錄用戶的上下文中執行JavaScript，在BIG-IP系統上造成拒絕服務等。此外，Microsoft、Foxit、Huawei等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞在當前用戶的上下文中執行任意代碼，導致代碼注入，遠程執行命令，獲取系統權限等。另外，TOTOLINK A3002R被披露存在跨站腳本漏洞。攻擊者可通過修改“服務名稱”字段利用該漏洞執行任意JavaScript。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、網信中國、中國金融新聞網、證券日報、今日建行、浦發銀行、長沙銀行、東莞銀行、深圳農村商業銀行報道

責任編輯：韓希宇