國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞607個，互聯網上出現“SeedDMS跨站腳本漏洞（CNVD-2022-05448）、Auerswald COMpact 5500R權限提升漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

一行兩會完善反洗錢監管機制 金融機構客戶盡職調查措施強化

近年來，隨著金融產品和業務模式發生變化，金融行業反洗錢工作出現一些新挑戰，為提升我國洗錢和恐怖融資風險防范能力，需要通過制定《辦法》進一步完善反洗錢監管制度，加強反洗錢監管。>>詳細

打擊治理洗錢違法犯罪 11部門聯合開展三年行動

堅決遏制洗錢及相關犯罪的蔓延勢頭，推動源頭治理、系統治理和綜合治理，構建完善國家洗錢風險防控體系，切實維護國家安全、社會穩定和人民群眾利益。>>詳細

互聯網金融營銷宣傳藏“貓膩” 四大陷阱需提防

部分機構在互聯網頁面中暗藏各種“套路”，給消費者自主選擇設置障礙。>>詳細

中國支付清算協會春節反詐溫馨提示：欺詐典型案例及風險防范

中國支付清算協會堅持“為人民群眾辦實事”的宗旨，匯總國家反詐中心、會員單位、互聯網絡等發布的相關反欺詐案例素材，編寫春節反詐溫馨提示，引導普通老百姓正確認知和防范欺詐風險，牢牢守護人民群眾的錢袋子安全。>>詳細

防范虛假短信詐騙 我們共同努力

除了“冒充銀行”短信詐騙，還有冒充“高速ETC、營業執照過期、房管局、通訊運營商”等的短信詐騙。>>詳細

專欄 | 大數據時代下你不可不知道的防窺小妙招！

有人說，大數據下，個人將沒有隱私，每個人在大數據的映射下仿佛是透明的。大數據時代猶如歷史的車輪滾滾向前而不可逆，那么，當代人如何在使用互聯網的同時保護個人隱私？>>詳細

騙子想發過年財？別上了他們的當！

即將迎來春節假期，想著能早日擁抱家的溫暖，你是不是已經放松了警惕？不法分子正借此機會蠢蠢欲動，千萬不要上當了！>>詳細

銀保機構IT外包風險頻發，監管定調將“分級管理”

在監管辦法中，銀保監會在總則中就要求銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發的風險，并且不得將信息科技管理責任、網絡安全主體責任外包。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年1月17日-23日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞607個，其中高危漏洞186個、中危漏洞367個、低危漏洞54個。漏洞平均分值為5.92。上周收錄的漏洞中，涉及0day漏洞282個（占46%），其中互聯網上出現“SeedDMS跨站腳本漏洞（CNVD-2022-05448）、Auerswald COMpact 5500R權限提升漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Acrobat是美國奧多比（Adobe）公司的一套PDF文件編輯和轉換工具。Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Acrobat and Reader資源管理錯誤漏洞（CNVD-2022-04528、CNVD-2022-04993、CNVD-2022-04991）、Adobe Acrobat Reader緩沖區溢出漏洞（CNVD-2022-04990）、Adobe Experience Manager跨站腳本漏洞（CNVD-2022-04999、CNVD-2022-05443）、Adobe Bridge緩沖區溢出漏洞（CNVD-2022-05037）、Adobe Experience Manager代碼問題漏洞。其中，除“Adobe Experience Manager跨站腳本漏洞（CNVD-2022-04999）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Rust是Mozilla基金會的一款通用、編譯型編程語言。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從未初始化的內存位置讀取數據，任意代碼執行，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Mozilla Rust messagepack-rs crate文件讀取漏洞（CNVD-2022-04511、CNVD-2022-04510）、Mozilla Rust拒絕服務漏洞（CNVD-2022-04515）、Mozilla Rust代碼執行漏洞、Mozilla Rust ckb crate拒絕服務漏洞、Mozilla Rust rdiff crate文件讀取漏洞、Mozilla Rust內存破壞漏洞（CNVD-2022-04516）、Mozilla Rust釋放后重用漏洞。其中，除“Mozilla Rust rdiff crate文件讀取漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei S5700和Huawei S6700都是中國華為（Huawei）公司的一款企業級交換機產品。Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei HarmonyOS Wearables是中國華為（Huawei）公司的一款電子手表。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，發起拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Huawei S5700和S5800拒絕服務漏洞、Huawei EMUI堆溢出漏洞、Huawei Emui和Magic UI雙重釋放漏洞、Huawei Emui和Magic UI配置缺陷漏洞、Huawei HarmonyOS Wearables堆緩沖區溢出漏洞、Huawei HarmonyOS Wearables越界寫漏洞（CNVD-2022-05173、CNVD-2022-05172）、Huawei HarmonyOS Wearables加密問題漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Secret Server是一套特權訪問管理解決方案。該產品支持密碼管理、特權賬號識別和特權會話訪問監控記錄等功能。IBM Security Guardium Data Encryption是一個用于保護組織內敏感數據安全性的軟件。IBM FileNet Content Manager是一套針對FileNet P8平臺的內容管理解決方案。該方案將文檔管理與即用型工作流程工具相結合，可管理圖像、視頻、Web內容、合規性文檔等。IBM Spectrum Copy Data Management是美國國際商業機器公司（IBM）的實現數據中心副本管理流程的現代化、簡化和自動化。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在受影響系統上執行任意shell命令。

CNVD收錄的相關漏洞包括：IBM Spectrum Copy Data Management信息泄露漏洞（CNVD-2022-05081、CNVD-2022-05082）、IBM Spectrum Copy Data Management輸入驗證錯誤漏洞、IBM Security Secret Server信息泄露漏洞（CNVD-2022-05088、CNVD-2022-05090）、IBM Security Guardium Data Encryption信息泄露漏洞（CNVD-2022-05124、CNVD-2022-05125）、IBM FileNet Content Manager命令注入漏洞。其中，“IBM Spectrum Copy Data Management輸入驗證錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ASUS DSL-N14U-B1代碼問題漏洞

ASUS DSL-N14U-B1是中國華碩（ASUS）公司的一款路由器設備。上周，ASUS DSL-N14U-B1被披露存在代碼問題漏洞。攻擊者可利用該漏洞上傳任意文件內容作為固件更新。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Mozilla、Huawei、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞從未初始化的內存位置讀取數據，提升權限，任意代碼執行，發起拒絕服務攻擊等。另外，ASUS DSL-N14U-B1被披露存在代碼問題漏洞。攻擊者可利用該漏洞上傳任意文件內容作為固件更新。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國支付清算協會、第一財經日報、中國證券報·中證網、蘭州銀行、蒙商銀行、安徽農金電子銀行報道

責任編輯：韓希宇