国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞484个，互联网上出现“SourceCodester E-Commerce Website跨站脚本漏洞、SourceCodester Travel Management System文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

我国数字经济规模不断扩大 专家提示要重视数字信息安全

我国在数字经济发展上取得了巨大的成功，数字经济将成为我国的优势产业和核心产业，是推动中国经济高质量发展的主要力量之一。>>详细

CFCA赵宇：未来数字金融还有这四件事要做

目前，中国银行业正面临转折点，大数据、云计算、人工智能等新兴技术正在全面改造银行的运作模式，银行业已全面迈入第四个重大发展阶段，即4.0智能银行时代。>>详细

出售银行卡类帮助网络信息犯罪暴增 贪120元小便宜却刑责引身

信息网络已经渗透进人们生活的方方面面，在极大地方便人们的生活时，也极大地“方便”了诈骗者行骗。>>详细

防范AI潜在风险 CFCA人工智能算法金融应用评估显真章

人工智能系统受到闪避攻击、药饵攻击、对抗样本攻击、物理攻击、黑盒攻击、后门攻击、窃取攻击等恶意攻击事件层出不穷，增加了金融交易风险和数据泄露风险。>>详细

防骗秘籍 | 不明不白不要点击，不给罪犯可乘之机

对于收到署名为银行发送的短信时，要注意辨别真伪，尤其不要盲目相信异常号码发送的短信。>>详细

火眼金睛识骗术，防范电信诈骗 “三不一要”要牢记

不明电话及时挂，可疑短信勿轻信，陌生链接慎点击，汇款转账细思量，匆匆打钱易上当。>>详细

【小妙招】这些防骗小妙招，你了解吗

您可以通过工行手机银行、网上银行开通及修改账户安全锁的设置，“上锁”“解锁”均可自助完成。>>详细

小便宜“换来”大麻烦，这种行为要严禁！

不得出租、出借、出售个人银行卡、身份证和网银U盾等账户存取工具，以免贪小利而造成更大的经济损失、承担法律责任。>>详细

警惕！疫情诈骗新“套路”

改签、退票要认准官方渠道，收到疑似改签或退票提醒的短信、电话时应首先向官方核实，确认无误后再做操作，避免泄露个人信息。>>详细

消保靠“浦”|乘风破浪的“钱袋子”

金融产品频创新，防范意识不可少，投资理财适当性，理性消费量力行。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年7月26日-8月1日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞484个，其中高危漏洞131个、中危漏洞299个、低危漏洞54个。漏洞平均分值为5.69。上周收录的漏洞中，涉及0day漏洞212个（占44%），其中互联网上出现“SourceCodester E-Commerce Website跨站脚本漏洞、SourceCodester Travel Management System文件上传漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在代码执行漏洞，攻击者可利用漏洞在系统上执行任意代码或造成拒绝服务情况。

CNVD收录的相关漏洞包括：Google Chrome sensor handling代码执行漏洞、Google Chrome dialog box代码执行漏洞、Google Chrome DevTools代码执行漏洞（CNVD-2021-55926、CNVD-2021-55931）、Google Chrome UI框架代码执行漏洞、Google Chrome Autofill代码执行漏洞、Google Chrome GPU代码执行漏洞、Google Chrome协议处理代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在目标系统上执行任意代码，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：Mozilla Firefox缓冲区溢出漏洞（CNVD-2021-54699、CNVD-2021-54700、CNVD-2021-54702）、Mozilla Firefox UI欺骗漏洞、Mozilla Firefox资源管理错误漏洞（CNVD-2021-54704）、Mozilla Firefox数据伪造问题漏洞（CNVD-2021-54703）、Mozilla Firefox权限许可和访问控制问题漏洞（CNVD-2021-54706）、Mozilla Firefox WebGL释放后重用漏洞。其中，“Mozilla Firefox WebGL释放后重用漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。Oracle VM VirtualBox是一款针对x86系统的跨平台虚拟化软件。Oracle PeopleSoft Enterprise PeopleTools提供了一个支持PeopleSoft应用程序的开发和运行时的全面的开发工具集。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞未经授权访问数据，导致MySQL服务器挂起或频繁重复崩溃。

CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2021-54672、CNVD-2021-54675、CNVD-2021-54674、CNVD-2021-54673、CNVD-2021-54676）、Oracle VM VirtualBox未授权访问漏洞（CNVD-2021-54713、CNVD-2021-54712）、Oracle PeopleSoft Enterprise PeopleTools未授权访问漏洞（CNVD-2021-54719）。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR R6700、NETGEAR R7800、NETGEAR R6250、NETGEAR R8300、NETGEAR R9000、NETGEAR WNDR4500、NETGEAR WNR2020等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR D8500是一款无线调制解调器。NETGEAR D6100是一款无线调制解调器。NETGEAR D6200是一款无线调制解调器。NETGEAR D7000是一款无线调制解调器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品跨站请求伪造漏洞（CNVD-2021-57165）、多款NETGEAR产品拒绝服务漏洞（CNVD-2021-57164）、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-57170、CNVD-2021-57173、CNVD-2021-57172、CNVD-2021-57171、CNVD-2021-57174）、多款NETGEAR产品输入验证错误漏洞（CNVD-2021-57176）。目前，厂商已经发布了上述漏洞的修补程序。

Realtek RTL8710缓冲区溢出漏洞（CNVD-2021-56811）

Realtek RTL8710是中国台湾瑞昱半导体（Realtek）公司的一款物联网微控制器。上周，Realtek RTL8710被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞通过"emcpy"功能远程执行代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在代码执行漏洞，攻击者可利用漏洞在系统上执行任意代码或造成拒绝服务情况。此外，Mozilla、Oracle、NETGEAR等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，读取任意文件，在目标系统上执行任意代码，导致拒绝服务攻击等。另外，Realtek RTL8710被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞通过"emcpy"功能远程执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、证券日报、中国工商银行电子银行、交通银行、兴业银行、浦发银行、光大数字金融报道

责任编辑：韩希宇