国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞355个，互联网上出现“SolarWindsWeb Help Desk CSV注入漏洞、Webmin任意命令执行漏洞（CNVD-2021-07125）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国银联发布2020年移动支付安全大调查报告

消费者对移动支付的安全性日趋肯定，加上移动支付的普遍性日益增加，人们对于使用移动支付也越加放心。>>详细

信息安全控制如何有效植入业务流程？

为应对激烈的市场竞争现状，推行国际和国内标准化管理体系的应用、认证，对内部管理持续改革与创新，在规范管理、防范风险、提升竞争力方面有着重要作用。>>详细

北京银行取消电子银行密码

为简化广大用户的密码管理，提升用户体验，自2021年1月27日起，北京银行取消电子银行密码。>>详细

【安全】“新冠疫苗预约”新骗局，谨防中招

近期，首批新型冠状病毒疫苗在多地试行接种，骗子们竟又意图大发不义之财，利用疫情实施欺诈。特殊时期，请擦亮双眼，防疫期间也要做好防骗！>>详细

春节将近，严防网络诈骗！

随着微信支付、支付宝的出现，只需一部手机便可以搞定一切，生活一下变得简单了很多，但总有一些不法分子趁着新时代快捷方便的手机支付方式，以各种违法的手段进行网络电信诈骗，这些诈骗手段你又了解多少? >>详细

消保靠“浦” | 反诈宣传之“转账请三思”

凡遇到陌生人要求转账、汇款及索要账号、密码、验证码者，都需提高警惕，谨防诈骗。>>详细

【小郑课堂】敲黑板：防范非法集资 教你守好钱袋子

天上不会掉馅饼、一夜暴富不可行；投资不能太大意、高额返利要当心。>>详细

“合适”才最好，两分钟教您做理性金融消费者

近年来，随着我国国民经济的稳步发展，和人民生活水平的不断提高，金融服务产品越来越丰富，但是作为个人一定要选择适合自己的产品，要学习、了解、掌握基本的金融知识和技能，当一个理性金融消费者。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年1月25日-31日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞355个，其中高危漏洞117个、中危漏洞190个、低危漏洞48个。漏洞平均分值为5.62。上周收录的漏洞中，涉及0day漏洞173个（占49%），其中互联网上出现“SolarWindsWeb Help Desk CSV注入漏洞、Webmin任意命令执行漏洞（CNVD-2021-07125）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Chrome是由Google开发的一款设计简单、高效的Web浏览工具，其特点是简洁、快速。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面绕过防火墙控制，利用堆破坏，执行沙箱转义等。

CNVD收录的相关漏洞包括：Google Chrome堆缓冲区溢出漏洞（CNVD-2021-07099）、GoogleChrome ImageBurner竞争条件漏洞、GoogleChrome联网策略执行不足漏洞（CNVD-2021-07102）、Google Chrome WASM数据验证不足漏洞、Google Chrome释放后重用漏洞（CNVD-2021-07100、CNVD-2021-07105）、Google Chrome V8实现不当漏洞（CNVD-2021-07106）、GoogleChrome cryptohome实现不当漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco AnyConnect SecureMobility Client for Windows是一款基于Windows平台的可通过任何设备安全访问网络和应用的安全移动客户端。Cisco Security Manager（CSM）是一套企业级的管理应用，它主要用于在Cisco网络和安全设备上配置防火墙、VPN和入侵保护安全服务。Cisco Expressway是一款网关解决方案，可让您的防火墙之外的用户简单、高度安全地访问所有协同工作。Cisco Firepower Management Center（FMC）是新一代防火墙管理中心软件。CiscoEdge Fog Fabric（EFF）是面向工业客户的开放架构物联网平台。Cisco TelePresence Collaboration Endpoint（CE）是一款使用在Cisco视频会议解决方案中的协作终端软件。Cisco AnyConnect Secure Mobility Client是一种虚拟专用网络（VPN）客户端，适用于各种操作系统和硬件配置。NexusData Broker提供了一种针对大流量和关键业务流量的简单、可扩展且具有成本效益的监视解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞未经授权获得网络访问权限，覆盖任意文件，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco AnyConnect SecureMobility Client for Windows代码问题漏洞（CNVD-2021-05520）、Cisco Security Manager路径遍历漏洞、Cisco Expressway Software信息泄露漏洞、Cisco Firepower Management Center拒绝服务漏洞、Cisco Edge Fog Fabric授权问题漏洞、Cisco TelePresence Collaboration Endpoint访问控制错误漏洞、Cisco AnyConnect Secure Mobility Client for Windows拒绝服务漏洞、Cisco Nexus Data Broker Software路径遍历漏洞。其中，“Cisco AnyConnect Secure Mobility Client for Windows代码问题漏洞（CNVD-2021-05520）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM WebSphere ApplicationServer（WAS）是由IBM遵照开放标准，例如JavaEE、XML及Web Services，开发并发行的一种应用服务器。IBM Security Identity Governance and Intelligence（IGI）是一套身份管理和治理解决方案。IBMPlanning Analytics是美国IBM公司的一套业务规划分析解决方案。IBM Spectrum LSF Suite是美国IBM公司的一套工作负载管理解决方案。IBM Security Guardium Data Encryption (GDE)提供了一组模块化的加密解决方案，可帮助安全团队有效地实现整个组织的静态数据安全性。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息或消耗内存资源等。

CNVD收录的相关漏洞包括：IBM WebSphere ApplicationServer XML外部实体注入漏洞（CNVD-2021-06634）、IBM Security Identity Governance身份验证漏洞、IBM Security Identity Governance and Intelligence信息泄露漏洞、IBM Planning Analytics信息泄露漏洞（CNVD-2021-06640、CNVD-2021-06639）、IBM Spectrum LSF命令注入漏洞、IBM Security Guardium Data Encryption权限控制不当漏洞、IBM Security Guardium Data Encryption弱加密算法漏洞。其中，“IBM WebSphere Application Server XML外部实体注入漏洞（CNVD-2021-06634）、IBMSecurity Identity Governance身份验证漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei Mate 30是一款智能手机。Huawei Taurus-AL00A是一款智能手机。"Huawei Taurus-AL00A是一款智能手机。Huawei Taurus-AL00A是一款智能手机。Huawei Manageone是一套云数据中心管理解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致缓冲区溢出，影响设备正常使用等。

CNVD收录的相关漏洞包括：Huawei Mate 30缓冲区溢出漏洞（CNVD-2021-07518）、HuaweiMate 30弱算法漏洞（CVE-2021-22307）、Huawei Taurus-AL00A内存错误引用漏洞、Huawei Taurus-AL00A越界读取漏洞、Huawei Taurus-AL00A指针双重释放漏洞、Huawei ManageOne CSV注入漏洞、Huawei Mate 30越界读取漏洞（CNVD-2021-07520）、HuaweiMate 30栈溢出漏洞。其中，“HuaweiMate 30缓冲区溢出漏洞（CNVD-2021-07518）、Huawei ManageOne CSV注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Quest Policy Authority跨站脚本漏洞

Quest Policy Authority ForUnified Communications是美国Quest公司的一个用于企业环境中整合各种媒体之间的通信数据（文本和即时消息，视频会议，电子邮件和语音邮件）的软件。上周，Quest Policy Authority被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过PolicyAuthority/Common/FolderControl.jsp的unqID参数向浏览器注入恶意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面绕过防火墙控制，利用堆破坏，执行沙箱转义等。此外，Cisco、IBM、Huawei等多款产品被披露存在多个漏洞，攻击者可利用漏洞未经授权获得网络访问权限，覆盖任意文件，获取敏感信息或消耗内存资源等。另外，Quest Policy Authority被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过PolicyAuthority/Common/FolderControl.jsp的unqID参数向浏览器注入恶意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银联、工行电子银行、中国农业银行、浦发银行、北京银行、郑州银行微银行、柳州银行报道

责任编辑：韩希宇