国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞603个，互联网上出现“WordPress插件Popular Posts远程代码执行漏洞、Zoo Management System 'Multiple'跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

《个人信息保护法》落地,互联网时代隐私驱动盈利模式终结

《个人信息保护法》的落地，回应了个人信息安全及合法权益的诉求，未来也将对电子商务、出行服务以及健康医疗等领域的互联网巨头的盈利模式带来挑战。>>详细

合规篇│《关键信息基础设施安全保护条例》发布了，接下来怎么做？

各行业各领域需要清楚识别各自的关键基础设施的范围，建立相应目录，做好认定工作，并及时通报公安部门，真正做到对关键信息基础设施的理解深刻，认定准确，通报及时。>>详细

【李闯】苹果照片审查中的神奇密码学 及在金融领域应用的探讨

苹果的照片审查应该是工业界第一次大规模的应用PSI密码技术，不得不佩服其对前沿技术的热心和勇气，而在我国工业界，基本上前沿密码学的落地以金融领域为主，如果国产SM系列的密码算法和相关协议，目前已经在金融领域系统中普及，是非常成功的案例。>>详细

网络交易陷阱重重，您可千万不要大意！

办理网络购物、网络退货、退款时，应认清官方渠道，切勿轻信不明身份的电话、网络聊天工具或其它形式提供的非正规的网络链接。>>详细

扫码就能投？移动电子招投标竟有这种大招！

当前电子招投标过程中，普遍利用数字证书，对发标、投标、开标、评标、定标各环节关键操作进行签名、签章、加密、解密，以达到防篡改、抗抵赖、防泄漏的目的。>>详细

骗子开户套路多，可疑线索不放过

近年来，随着互联网的蓬勃发展，通过窃取、收买他人银行账户，进行洗钱等违法金融活动的现象时有发生，那么，该如何防范电信网络诈骗，从而远离洗钱陷阱呢？小编带您直击骗局现场，快来一起学习吧。>>详细

理财诈骗风险事件通报，这样的二维码要注意！

请您审慎处理任何含可疑二维码、链接、应用程序的广告、短信等消息，不要轻易点击。>>详细

震惊 | 这些都是骗局，千万别中招

随着信息化时代的发展，各类金融诈骗手段越发隐蔽、多样，稍有疏忽就上当受骗，叫人叫苦不迭，今天，和小信一起，认清陷阱，保护好自己吧！>>详细

安全防范 | 谨防电信诈骗 守护资产安全

谨防电信诈骗，莫信天上掉馅饼，快来一起识破骗局，保护个人资产安全吧！>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年8月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞603个，其中高危漏洞166个、中危漏洞367个、低危漏洞70个。漏洞平均分值为5.63。上周收录的漏洞中，涉及0day漏洞354个（占59%），其中互联网上出现“WordPress插件Popular Posts远程代码执行漏洞、Zoo Management System 'Multiple'跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google TensorFlow是一个端到端开源机器学习平台。Chrome是由Google开发的一款Web浏览工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome越界读取漏洞（CNVD-2021-62186）、Google Chrome释放后重用漏洞（CNVD-2021-62185、CNVD-2021-62188）、Google Chrome堆缓冲区溢出漏洞（CNVD-2021-62189）、Google TensorFlow input_splits tensor代码执行漏洞、Google TensorFlow tf.raw_ops.BoostedTreesCreateEnsemble代码执行洞、Google TensorFlow MKL代码执行漏洞、Google TensorFlow任意代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Windows/Windows Server远程代码执行漏洞（CNVD-2021-62473、CNVD-2021-62472、CNVD-2021-62479、CNVD-2021-62484、CNVD-2021-62483、CNVD-2021-62487、CNVD-2021-62490、CNVD-2021-62489）。其中，除“Microsoft Windows/Windows Server远程代码执行漏洞（CNVD-2021-62484、CNVD-2021-62483）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe XMP Toolkit SDK是美国奥多比（Adobe）公司的一种标签技术，允许您将有关文件的数据（称为元数据）嵌入到文件本身中。Adobe Bridge是Adobe公司推出的一款免费数字资产管理应用程序。Adobe Photoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致拒绝服务。

CNVD收录的相关漏洞包括：Adobe XMP Toolkit SDK堆缓冲区溢出漏洞（CNVD-2021-63256、CNVD-2021-63260、CNVD-2021-63259）、Adobe Bridge越界读取漏洞（CNVD-2021-63274）、Adobe Photoshop堆缓冲区溢出漏洞（CNVD-2021-63278）、Adobe Photoshop越界写入漏洞（CNVD-2021-63277）、Adobe Bridge越界写入漏洞（CNVD-2021-63281）、Adobe Bridge堆缓冲区溢出漏洞（CNVD-2021-63280）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR M4300-28G、NETGEAR R6400、NETGEAR R6700、NETGEAR D6100、NETGEAR EX7000、NETGEAR D6220、NETGEAR R6300、NETGEAR EX3700、NETGEAR DGN2200、NETGEAR R8900等都是美国网件（NETGEAR）公司的一款网管型交换机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行非法命令，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品权限提升漏洞（CNVD-2021-63373）、多款NETGEAR产品命令注入漏洞（CNVD-2021-63372、CNVD-2021-63379）、NETGEAR权限提升漏洞、NETGEAR缓冲区溢出漏洞（CNVD-2021-63378、CNVD-2021-63380）、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-63381、CNVD-2021-63773）。目前，厂商已经发布了上述漏洞的修补程序。

Portlandlabs Concrete5代码问题漏洞

Portlandlabs Concrete5是美国PortlandLabs（Portlandlabs）公司的一套开源内容管理系统（CMS）。上周，Portlandlabs concrete5被披露存在代码问题漏洞。攻击者可利用该漏洞将专门设计的数据传递给应用程序，并在目标系统上执行任意PHP代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码或导致应用程序崩溃。此外，Microsoft、Adobe、NETGEAR等多款产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务等。另外，Portlandlabs Concrete5被披露存在代码问题漏洞。攻击者可利用该漏洞将专门设计的数据传递给应用程序，并在目标系统上执行任意PHP代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经、中国邮政储蓄银行、中信银行、兴业银行、湖北银行、平顶山银行报道

责任编辑：韩希宇