国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞485个，互联网上出现“Wuzhi CMS SQL注入漏洞（CNVD-2021-66056）、Nuance Winscribe Dictation SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

图解｜勒索软件防范指南

黑客利用勒索软件，通过加密用户数据、更改配置等方式，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。>>详细

反诈拒赌，建设银行全力以赴守护客户资金安全

为应对复杂多变的涉赌涉诈风险形势，建行强化大数据、知识图谱、机器学习等新一代金融科技在风控领域的探索应用，依托高精度模型率先实现对涉赌涉诈可疑交易的事中拦截，避免客户资金损失。>>详细

北京银保监局等四方共建保险反欺诈交流会商机制

北京银保监局、北京市公安局经侦总队、北京保险行业协会，以及中国银行保险信息技术管理有限公司四方联合签署《保险反欺诈交流会商机制》，开启了北京地区保险反欺诈警保协作的新篇章。>>详细

消保靠“浦” | 共建清朗网络空间—青少年防骗指南

警惕“屏幕共享”“未知链接”，拒绝“协助操作”“查看问题”，谨防密码泄露、手机被操控。>>详细

消保小课堂：电信诈骗大揭秘！

深圳农商银行消保小卫士温馨提示，电信网络诈骗手法千变万化，但万变不离其宗，记住“三不一多”原则：未知链接不点击，陌生来点不轻信，个人信息不透露，转账汇款多核实。>>详细

【消保微课堂】个人贷款的那些事儿

随着公众消费观念的转变，个人贷款的需求不断增大，向银行申请贷款的现象在人们的日常生活中越来越普遍。作为金融消费者，了解个人贷款的相关尝试就显得非常有必要。>>详细

请注意，警惕非法集资

要认清非法集资的本质和危害，提高识别能力，自觉抵制各种诱惑。坚信“天上不会掉馅饼”，对“高额回报”“快速致富”的投资项目进行冷静分析，避免上当受骗。>>详细

防范被套路 让电信诈骗远离你我 邮储银行广州市分行为储户挽回资金损失

邮储银行广州市分行提醒广大客户，警方及银行不会通过电话或社交账号通知您要求核查资金，或将钱款转移到安全账户。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年8月23日-29日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞485个，其中高危漏洞127个、中危漏洞319个、低危漏洞39个。漏洞平均分值为5.69。上周收录的漏洞中，涉及0day漏洞272个（占56%），其中互联网上出现“Wuzhi CMS SQL注入漏洞（CNVD-2021-66056）、Nuance Winscribe Dictation SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

F5产品安全漏洞

F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡。智能DNS，远程接入策略管理等功能的应用交付平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前登录用户的上下文中执行JavaScript，在BIG-IP系统上造成拒绝服务等。

CNVD收录的相关漏洞包括：F5 BIG-IP TMUI跨站脚本漏洞、F5 BIG-IP Advanced WAF and ASM TMUI服务端请求伪造漏洞、F5 BIG-IP TMM拒绝服务漏洞（CNVD-2021-65649、CNVD-2021-65648、CNVD-2021-65647）、F5 BIG-IP DNS拒绝服务漏洞、F5 BIG-IP Advanced WAF and ASM WebSocket拒绝服务漏洞、F5 BIG-IP TMUI远程命令执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Windows/Windows Server远程代码执行漏洞（CNVD-2021-65596、CNVD-2021-65602、CNVD-2021-65601、CNVD-2021-65600 CNVD-2021-65599、CNVD-2021-65605、CNVD-2021-65604、CNVD-2021-65603）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit PDF Reader（旧名：Foxit Reader）是一套用来阅读PDF格式文件的软件，由福建福昕软件所研发。上周，上述产品被披露存在释放后重用漏洞漏洞，攻击者可利用该漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Foxit PDF Reader释放后重用漏洞（CNVD-2021-64088、CNVD-2021-64087、CNVD-2021-64090、CNVD-2021-64089、CNVD-2021-64092、CNVD-2021-64091、CNVD-2021-64093、CNVD-2021-64096）。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Huawei Magic UI是荣耀手机的操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致代码注入，远程执行命令，获取系统权限等。

CNVD收录的相关漏洞包括：Huawei EMUI/Magic UI输入验证漏洞（CNVD-2021-64497、CNVD-2021-64498）、Huawei EMUI/Magic UI内存地址越界漏洞、Huawei EMUI/Magic UI整数溢出漏洞（CNVD-2021-64510、CNVD-2021-64524）、Huawei EMUI/Magic UI反序列化漏洞、Huawei EMUI/Magic UI UAF漏洞、Huawei EMUI/Magic UI权限控制漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TOTOLINK A3002R跨站脚本漏洞

TOTOLINK A3002RU是一款AC1200无线双频千兆路由器。上周，TOTOLINK A3002R被披露存在跨站脚本漏洞。攻击者可通过修改“服务名称”字段利用该漏洞执行任意JavaScript。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，F5产品被披露存在多个漏洞，攻击者可利用漏洞在当前登录用户的上下文中执行JavaScript，在BIG-IP系统上造成拒绝服务等。此外，Microsoft、Foxit、Huawei等多款产品被披露存在多个漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码，导致代码注入，远程执行命令，获取系统权限等。另外，TOTOLINK A3002R被披露存在跨站脚本漏洞。攻击者可通过修改“服务名称”字段利用该漏洞执行任意JavaScript。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、网信中国、中国金融新闻网、证券日报、今日建行、浦发银行、长沙银行、东莞银行、深圳农村商业银行报道

责任编辑：韩希宇