国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞426个，互联网上出现“Oscar Arzola PressBooks跨站脚本漏洞、Gym Management System SQL注入漏洞（CNVD-2021-11281）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【安全月刊】信息安全的这些知识你知道吗

什么是信息安全？信息安全是指保护信息系统防止未经授权的访问、使用、泄露、中断、修改、或破坏，以提供信息的完整性、保密性、可用性。>>详细

啥神仙操作？高风险业务安全便捷两不误啊！

作为对安全体系重构的重要一环，北京银行与中国金融认证中心（CFCA）合作，引入新一代移动端证书解决方案——云证通，以云证书的形式全面代替原来的物理安全介质在手机银行中的应用，实现高风险业务场景下安全与便捷间的平衡。>>详细

电信诈骗套路深，学好知识好防身

凡事需要先付钱的工作，都不可相信，应当拒绝。>>详细

国内首个！CFCA安全输入控件获国密产品认证证书！

近日，中国金融认证中心（CFCA）安全输入控件率先获得国密局《商用密码产品认证证书》，这也是目前国内第一个取得该资质的安全输入控件产品。>>详细

告捷！网络诈骗成功阻截，9万美元顺利“回家”

在中行山东菏泽分行交易银行部统一部署下，开始了一场追讨海外诈骗款的实战。工作人员第一时间联系山东中行支付清算部查询查复团队，告知该笔资金涉嫌诈骗，并向中转行和收款行发送止付指令，请求退款，及时跟进省行报文状态，随时做好客户电话问询答复。>>详细

警惕借“注销校园贷”诈骗，收好这六条防骗贴士

近日一种以"注销校园贷"为借口的新骗局在全国各地频繁出现，诈骗分子伪装成贷款机构的客服人员，以"校园贷的额度要清零、注销，不注销将会影响征信"为由行骗，不少消费者中招。>>详细

擦亮“眼睛” 远离电信网络诈骗

您一旦发现自己遭遇电信网络诈骗，务必记得与犯罪分子抢时间，争分夺秒开展自救。>>详细

【消保】重点关注《银行业从业人员职业操守和行为准则》

《操守和准则》明确银行业协会建立违法违规违纪人员“黑名单”和“灰名单”，对纳入相关名单的人员实行通报同业、行业禁入等惩戒制度。>>详细

警惕！有人冒充银行名义营销宣传 多家银行发声……

面对类似虚假宣传造势的行为，除了监管部门要加大打击力度、银行业金融机构保持警惕之外，金融消费者的识别能力和风险意识也亟待加强。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年2月8日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞426个，其中高危漏洞194个、中危漏洞183个、低危漏洞49个。漏洞平均分值为6.10。上周收录的漏洞中，涉及0day漏洞231个（占54%），其中互联网上出现“Oscar Arzola PressBooks跨站脚本漏洞、Gym Management System SQL注入漏洞（CNVD-2021-11281）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）和开放手持设备联盟（简称oha）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致需要系统执行特权的权限本地升级，提交特殊的请求，可提升权限，导致拒绝服务等。

CNVD收录的相关漏洞包括：Google Android VPU权限提升漏洞（CNVD-2021-09904、CNVD-2021-09908）、Google Android wlan driver越界写漏洞、Google Android mtkpower内存破坏漏洞、Google Android display driver限提升漏洞、Google Android Framework拒绝服务漏洞（CNVD-2021-10540）、Google Android Pixel权限提升漏洞（CNVD-2021-10541）、Google Android资源管理错误漏洞（CNVD-2021-10538）。其中，“Google Android VPU权限提升漏洞（CNVD-2021-09904、CNVD-2021-09908）、Google Android wlan driver越界写漏洞、Google Android mtkpower内存破坏漏洞、Google Android display driver限提升漏洞、Google Android Framework拒绝服务漏洞（CNVD-2021-10540）、Google Android Pixel权限提升漏洞（CNVD-2021-10541）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Smart Software Manager Satellite是一个为用于提供许可证智能管理功能的软件。Cisco Data Center Network Manager (DCNM)是Cisco的一套数据中心网络管理器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞可通过诱使界面用户点击链接利用该漏洞在受影响的设备上执行任意脚本代码，向受影响的设备发送特制HTTP请求利用该漏洞越权编辑配置，发送特制HTTP请求利用该漏洞以管理员权限列出、查看、创建、编辑和删除特定系统配置，可通过向受影响设备发送恶意的HTTP请求利用该漏洞在底层操作系统上执行任意命令等。

CNVD收录的相关漏洞包括：Cisco Smart SoftwareManager Satellite Web UI命令注入漏洞（CNVD-2021-09935、CNVD-2021-09934、CNVD-2021-09933、CNVD-2021-09937、CNVD-2021-09936）、Cisco Data Center Network Manager反射型文件下载漏洞、Cisco Data Center Network Manager授权绕过漏洞（CNVD-2021-09949、CNVD-2021-09948）。其中，“Cisco Smart Software Manager Satellite Web UI命令注入漏洞（CNVD-2021-09935、CNVD-2021-09934、CNVD-2021-09933、CNVD-2021-09937、CNVD-2021-09936）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

AdobePhotoshop是美国奥多比（Adobe）公司的一套图片处理软件。Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop越界写入漏洞（CNVD-2021-11019）、Adobe Animate越界写入漏洞、Adobe Illustrator越界写入漏洞（CNVD-2021-11016、CNVD-2021-11017）、Adobe Photoshop越界读取漏洞（CNVD-2021-11022）、Adobe Photoshop缓冲区溢出漏洞（CNVD-2021-11021、CNVD-2021-11020）、多款Adobe产品内存错误引用漏洞（CNVD-2021-11024）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows操作系统是美国微软公司研发的一套操作系统。Microsoft Word是美国微软（Microsoft）公司的一套Office套件中的文字处理软件。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过运行特制应用程序利用该漏洞以提升的权限运行任意代码，运行特制应用程序利用该漏洞提升权限，导致目标主机发生蓝屏等。

CNVD收录的相关漏洞包括：Microsoft Windows TCP/IP远程执行代码漏洞、Microsoft Windows TCP/IP拒绝服务漏洞、Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-11039、CNVD-2021-11040）、Microsoft Word远程代码执行漏洞（CNVD-2021-11032、CNVD-2021-11036、CNVD-2021-11035、CNVD-2021-11031）。其中“Microsoft Windows TCP/IP远程执行代码漏洞、Microsoft Windows TCP/IP拒绝服务漏洞、Microsoft Word远程代码执行漏洞（CNVD-2021-11031）、Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-11039、CNVD-2021-11040）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Centreon SQL注入漏洞（CNVD-2021-11075）

Centreon是一款免费且开源的IT和应用程序监控软件。上周，Centreon被披露存在SQL注入漏洞。攻击者可利用该漏洞注入SQL查询，从而可实现远程命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞导致需要系统执行特权的权限本地升级，提交特殊的请求，可提升权限，导致拒绝服务等。此外，Cisco、Adobe、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过诱使界面用户点击链接利用该漏洞在受影响的设备上执行任意脚本代码，通过运行特制应用程序利用该漏洞以提升的权限运行任意代码，运行特制应用程序利用该漏洞提升权限，导致目标主机发生蓝屏等。另外，Centreon被披露存在SQL注入漏洞。攻击者可利用该漏洞注入SQL查询，从而可实现远程命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经、每日经济新闻、中国银行、南京银行、内蒙古银行、四川农信报道

责任编辑：韩希宇