国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞378个，互联网上出现“JIZHICMS跨站脚本漏洞、ZZCMS SQL注入漏洞（CNVD-2021-04410）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

最高检印发《人民检察院办理网络犯罪案件规定》（全文）

人民检察院办理网络犯罪案件应当加强对电子数据收集、提取、保全、固定等的审查，充分运用同一电子数据往往具有的多元关联证明作用，综合运用电子数据与其他证据，准确认定案件事实。>>详细

国家网信办修订《互联网用户公众账号信息服务管理规定》发布施行

全面加强平台公众账号信息服务行为的基础管理和过程管理，切实维护平台内容安全、账号安全、数据安全和个人信息安全。>>详细

最高法“在线办案规定”征求意见 智慧司法建设进程加速

电子数据的分散性、无形性等先天特性，让其在存储、提取、使用时面临诸多风险：易被篡改、不稳定、难固化、易被损坏。>>详细

全新“云证书”升级手机银行安全体系

“云证书”是北京银行联合中国金融认证中心推出的新一代移动端证书解决方案，可以全面代替目前实体介质-电子密盾在手机银行中的应用。>>详细

谨防诈骗｜ 关注电子银行安全，防范电信诈骗

当手机号码变更时，应及时联系银行，将银行账户绑定的手机号码更新为新手机号码。>>详细

给银行卡账户上一把“安全锁”

夜间锁、跨境锁、境内限额锁，防盗刷、防欺诈，即开即用，锁住账户资金安全，为新年积攒财富保驾护航。>>详细

个人“信用报告”知多少

个人信用报告记录个人借债还钱、合同履行等信息，是个人信用历史的客观记录。>>详细

民生银行北京分行深入社区开展防诈骗公益活动

防范电信诈骗不是一朝一夕的事，只有持续不断的开展宣传教育，才能不断提升百姓的风险防范意识，提高百姓的金融素养，守住居民“钱袋子”，构建和谐稳定的金融环境。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年1月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞378个，其中高危漏洞94个、中危漏洞247个、低危漏洞37个。漏洞平均分值为5.95。上周收录的漏洞中，涉及0day漏洞140个（占37%），其中互联网上出现“JIZHICMS跨站脚本漏洞、ZZCMS SQL注入漏洞（CNVD-2021-04410）”等零日代码攻击漏洞。

上周重要漏洞安全告警

SAP产品安全漏洞

SAP NetWeaver Master Data Management（SAP MDM）是德国SAP公司的一款用于管理企业间协同合作的软件。SAP Netweaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。SAP Banking Services是德国思爱普（SAP）公司的一套银行服务解决方案。SAP BusinessObjectsBusiness Intelligence Platform是德国思爱普（SAP）公司的一套商业智能软件和企业绩效解决方案套件。该产品具有报告生成、分析和数据可视化等功能。SAP NetWeaver AS ABAPBusiness Server是德国思爱普（SAP）公司的一款适用于ABAP（高级商务应用编程）的应用服务器。SAP S/4 HANA和SAP ERP都是德国思爱普（SAP）公司的产品。SAP S/4 HANA是一款适用于大型企业的智能化集成式ERP软件。SAP ERP是一系列用于ERP管理的软件。SAP NetWeaver Application Server是德国思爱普（SAP）公司的一款应用程序服务器。SAP HCM Travel Management是德国思爱普（SAP）公司的一个差旅管理模块。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行权限提升，使应用崩溃等。

CNVD收录的相关漏洞包括：SAP NetWeaver Master DataManagement信息泄露漏洞（CNVD-2021-03698）、SAP Netweaver AS ABAP资源管理错误漏洞、SAP Banking Services权限提升漏洞、SAP Netweaver AS JAVA授权问题漏洞、SAP BusinessObjects Business Intelligence Platform XML外部实体注入漏洞、SAP NetWeaver AS ABAP跨站脚本漏洞（CNVD-2021-03703）、SAP ERP和SAP S/4 HANA授权问题漏洞（CNVD-2021-03707）、SAP NetWeaver Application Server Java跨站脚本漏洞。其中，“SAP Netweaver AS JAVA授权问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit Reader和Foxit PhantomPDF都是中国福昕（Foxit）公司的一款PDF文档阅读器。Foxit PDF SDK ActiveX是中国福昕（Foxit）公司的一个PDF软件开发工具包，也是一个可视化编程组件。该产品提供PDF显示及注释等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致堆栈缓冲区溢出或越界读取，远程执行代码等。

CNVD收录的相关漏洞包括：Foxit Reader和PhantomPDF竞争条件漏洞（CNVD-2021-04397、CNVD-2021-04399、CNVD-2021-04398、CNVD-2021-04401、CNVD-2021-04400、CNVD-2021-04403、CNVD-2021-04402）、Foxit PDF SDK ActiveX命令注入漏洞。其中，“Foxit PDF SDK ActiveX命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在两个蓝牙设备之间远程升级特权，而无需其他执行特权，导致本地特权提升，获取服务器控制权限。

CNVD收录的相关漏洞包括：Google Android System远程代码执行漏洞（CNVD-2021-04374）、Google Android System权限提升漏洞（CNVD-2021-04373、CNVD-2021-04372）、Google Android Media Framework信息泄露漏洞（CNVD-2021-04376、CNVD-2021-04375）、Google Android Framework信息泄露漏洞（CNVD-2021-04379）、Google Chrome资源管理错误漏洞（CNVD-2021-04393）、Google Chrome内存错误引用漏洞（CNVD-2021-04421）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox和MozillaFirefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是由Mozilla浏览器的邮件功能部件所改造的邮件工具，使用XUL程序界面语言所设计，是专门为搭配Mozilla Firefox浏览器使用者所设计的邮件客户端软件，界面设计更简洁、而且免安装。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞控制标签的内容，同时URL栏显示原始域，交特殊的WEB请求，诱使用户解析，可使应用程序崩溃或可以应用程序上下文执行任意代码等。

CNVD收录的相关漏洞包括：Mozilla Firefox输入验证错误漏洞（CNVD-2021-04654）、Mozilla Firefox资源管理错误漏洞（CNVD-2021-04744）、Mozilla Firefox跨站脚本漏洞（CNVD-2021-04748）、Mozilla Firefox内存破坏漏洞（CNVD-2021-04747）、Mozilla Firefox ESR缓冲区溢出漏洞（CNVD-2021-04746）、Mozilla Firefox ESR跨站脚本漏洞（CNVD-2021-04745）、MozillaThunderbird/Firefox ESR释放后重用漏洞、Mozilla Firefox代码执行漏洞（CNVD-2021-04749）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TP-Link TL-WR840N OS命令注入漏洞

TP-LINK TL-WR840N是一款无线路由器，信道数为13，支持VPN功能。上周，TP-Link TL-WR840N被披露存在OS命令注入漏洞。攻击者可利用该漏洞注入OS命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，SAP产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行权限提升，使应用崩溃等。此外，Foxit、Google、Mozilla等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致堆栈缓冲区溢出或越界读取，远程执行代码，获取服务器控制权限等。另外，TP-Link TL-WR840N被披露存在OS命令注入漏洞。攻击者可利用该漏洞注入OS命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、最高人民检察院、网信中国、中国金融新闻网、北京银行、邯郸银行、甘肃银行、中国银联报道

责任编辑：韩希宇