國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞585個，互聯網上出現“AyaCMS跨站請求偽造漏洞、Sourcecodester Complaint Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

首份金融業隱私計算白皮書：國內應用領先國際，適時規劃平臺互聯互通

《報告》提出，數據要素化時代，互聯互通終極目標是建設跨層級、跨機構、跨行業乃至跨國境“數據流通網”。因此互聯互通須以終為始、自上而下全局規劃，前瞻性選擇社會整體最優路徑。>>詳細

求新求快先求穩！區塊鏈產品安全合規“試金石”在哪里？

近期，杭州溪塔科技有限公司自研的區塊鏈軟件套件“Rivus企業間協作軟件V1.0”成功通過了中國金融認證中心（CFCA）的區塊鏈產品檢測。>>詳細

《數據安全法》實施效應顯現 外商關注跨境數據安全審查評估細則

《數據安全法》中涉及的數據跨境流動規則，首先在數據分級分類保護制度基礎上，確立不同數據的出境安全管理規則。>>詳細

工業互聯網安全責任重，防護難度大，CFCA方案一站式解決！

CFCA針對工業互聯網領域，面向鋼鐵、電力、水泥、采礦等行業形成了一套完整的安全解決方案。>>詳細

銀聯手機閃付推出一鍵綁卡功能 免輸卡號安全綁卡更便捷

用戶將系統自帶錢包升級到最新版本，點擊添加銀行卡，經身份安全驗證和授權，免輸卡號實現簽約綁卡，用戶支付體驗得到進一步提升。>>詳細

CFCA信令云：統一身份認證平臺 一次認證全網通行

CFCA統一身份認證平臺——信令云提供了一種跨應用、跨平臺、跨機構、跨區域的用戶身份認證和訪問管理的方式，為客戶提供統一的用戶管理、身份認證和權限管理，實現全部應用的單點登錄，并加強信息安全的審計，提高系統的可用性、安全性，以及用戶使用的方便性。>>詳細

有溫度的消保 | 信用卡代還詐騙陷阱，小心千萬別中招！

超前消費雖好，但也不能過度呦~適度消費，理性消費，不給騙子可乘之機。>>詳細

守住錢袋子，保障金融消費者合法權益

隨著電子金融領域的持續發展，越來越多用戶參與到了電子金融業務中，同時維權意識也在日益提升。>>詳細

專欄 | 蒙商銀行老年人防詐騙指南

詐騙分子無論怎樣花言巧語，手法如何翻新，最后都會落在要錢上，千萬不要輕信來歷不明的電話、短信，不要輕易通露自己的身份和銀行卡的信息。>>詳細

【消費者權益保護】網購退款識騙局

老人作為易受騙人群，在網上購物時最好有人陪同，若老人單獨網購，填寫的收貨人或聯系人最好是成年子女，而非本人。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年11月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞585個，其中高危漏洞137個、中危漏洞409個、低危漏洞39個。漏洞平均分值為5.77。上周收錄的漏洞中，涉及0day漏洞393個（占67%），其中互聯網上出現“AyaCMS跨站請求偽造漏洞、Sourcecodester Complaint Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Reader（也被稱為Acrobat Reader）是Adobe公司開發的一款PDF文件閱讀軟件。Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。Adobe InCopy是Adobe公司推出的專業文字處理程序，與Adobe InDesign集成在一起。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Adobe InCopy內存越界訪問漏洞（CNVD-2021-87304）、Adobe Acrobat/Reader空指針解引用漏洞（CNVD-2021-87305、CNVD-2021-87307、CNVD-2021-87306、CNVD-2021-87308、CNVD-2021-87309、CNVD-2021-87310）、Adobe Acrobat/Reader釋放后重用漏洞（CNVD-2021-87312）。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows Active Directory是美國微軟（Microsoft）公司的一個負責架構中大型網絡環境的集中式目錄管理服務。Microsoft Windows Installer是美國微軟（Microsoft）公司的Windows 操作系統的一個組件。為安裝和卸載軟件提供了標準基礎。Microsoft Windows Media Foundation是適用于Windows的下一代多媒體平臺。Microsoft Windows Diagnostic Hub是美國微軟（Microsoft）公司的一款應用程序。它不僅僅是任務管理器，也是設備診斷中心。此應用程序將Windows開發人員工具與UWP功能相結合，以獲取新信息和功能。Microsoft Windows NTFS是美國微軟（Microsoft）公司的一個為計算機文件服務的文件系統。Microsoft Dynamics 365是一套適用于跨國企業的ERP業務解決方案。Microsoft Windows Fastfat Driver是美國微軟（Microsoft）公司的一個完整的文件系統，它解決了各種問題，例如在磁盤上存儲數據、與緩存管理器交互以及處理各種I/O操作，例如文件創建、對文件執行讀/寫、設置文件信息以及對文件系統執行控制操作。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在目標主機上執行代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows Active Directory權限提升漏洞、Microsoft Windows Installer權限提升漏洞、Microsoft Windows Media Foundation遠程代碼執行漏洞、Microsoft Windows Diagnostic Hub權限提升漏洞、Microsoft Windows NTFS權限提升漏洞、Microsoft Dynamics 365遠程代碼執行漏洞、Microsoft Windows NTFS遠程代碼執行漏洞、Microsoft Windows Fastfat Driver權限提升漏洞。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Access Manager是美國IBM公司的一款應用于信息安全管理的產品。IBM Sterling Secure Proxy是一個用于確保組織非保護區（DMZ）中文件安全傳輸的應用程序代理。IBM Ts7700是美國Ibm公司的一款大型機虛擬磁帶解決方案。用于優化數據安全性和業務連續性。IBM AIX是美國IBM公司的一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。IBM Maximo Asset Management是美國IBM公司的一套綜合性資產生命周期和維護管理解決方案。IBM QRadar User Behavior Analytics（UBA）是美國IBM公司的一款用戶行為分析軟件。IBM QRadar Advisor with Watson是美國IBM公司的一套安全威脅分析解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞解密高度敏感的信息，從系統發送未經授權的請求，進而探測系統內網，執行任意命令，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Security Access Manager加密問題漏洞、IBM Sterling Secure Proxy服務器端請求偽造漏洞、IBM TS7700授權問題漏洞、IBM AIX拒絕服務漏洞（CNVD-2021-88195、CNVD-2021-88194）、IBM Maximo Asset Management CSV注入漏洞（CNVD-2021-88198）、IBM QRadar User Behavior Analytics跨站請求偽造漏洞、IBM QRadar Advisor with Watson跨站腳本漏洞。其中，“IBM TS7700授權問題漏洞、IBM Maximo Asset Management CSV注入漏洞（CNVD-2021-88198）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

SIMATIC PCS 7是一套過程控制系統。SIMATIC WinCC是一套自動化的數據采集與監控（SCADA）系統。Siemens Climatix Pol909是德國西門子（Siemens）公司的一個智能網絡模塊。Capital VSTAR是一個完整的解決方案。Nucleus NET模塊集成了一系列符合標準的網絡和通信協議、驅動程序和實用程序，以在任何嵌入式設備中提供全功能的網絡支持。Nucleus RTOS是一種基于微內核的實時操作系統。Siemens Nucleus ReadyStart是一個捆綁式解決方案。用于加速完整系統的快速啟動并提供豐富的板級支持包（Bsp）。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取敏感數據，導致拒絕服務條件等。

CNVD收錄的相關漏洞包括：Siemens SIMATIC PCS 7和SIMATIC WinCC路徑遍歷漏洞（CNVD-2021-89422、CNVD-2021-89425）、Siemens Climatix POL909 (AWM)信息泄露漏洞、Siemens SIMATIC PCS 7和SIMATIC WinCC日志信息泄露漏洞、多款Siemens產品緩沖區溢出漏洞（CNVD-2021-89441、CNVD-2021-89442）、多款Siemens產品越界讀取漏洞 、Siemens Nucleus ReadyStart拒絕服務漏洞。其中，“Siemens SIMATIC PCS 7和SIMATIC WinCC路徑遍歷漏洞（CNVD-2021-89422）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WildBit Viewer緩沖區溢出漏洞（CNVD-2021-88229）

WildBit Viewer是一款帶有幻燈片放映和編輯器的小巧型圖像查看器。上周，WildBit Viewer被披露存在緩沖區溢出漏洞。攻擊者可通過特制tga文件利用該漏洞導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務等。此外，Microsoft、IBM、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞解密高度敏感的信息，從系統發送未經授權的請求，進而探測系統內網，提升權限，執行任意命令，導致拒絕服務等。另外，WildBit Viewer被披露存在緩沖區溢出漏洞。攻擊者可通過特制tga文件利用該漏洞導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、第一財經、中國銀聯、中信銀行、中國光大銀行零售金融、渤海銀行、蒙商銀行報道

責任編輯：韓希宇