国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞550个，互联网上出现“Remote Mouse目录遍历漏洞、WordPress Duplicate Page跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

北京银保监局消费者风险提示：擦亮眼 重防范 校园生活保平安

当单纯的大学生，遇到狡猾的骗子，如何借一双慧眼，识破层层迷雾呢?正值开学季,北京银保监局提示广大学生擦亮眼、重防范，校园生活保平安。>>详细

金普月 |《个人信息保护法》来了！

一定要加强风险防范意识，妥善保管个人信息，尤其是个人在办理金融业务时，要注意保护好个人金融信息。>>详细

《关键信息基础设施安全保护条例》发布，等保单位该怎么做？

关键信息基础设施一般应定为三级或者四级，或者说应该在等保三级或四级系统中识别关键信息基础设施。>>详细

姣姣课堂 | 警惕非法集资，远离高息诱惑

警惕非法集资，远离高息诱惑，请不要被非法金融广告所承诺的无风险高收益所蒙蔽，在投资过程中，建议您选择正规理财渠道，保护您的合法权益。>>详细

【消保剧场】面对电信欺诈的剧本表演 我们该如何喊CUT？

电信欺诈诈骗分子往往利用人性弱点，针对不同的人群，实施不同套路的欺诈。遇到电信欺诈，做到“沉着冷静，信息护好；理智判断，拒绝操控；自控自律，抵御诱惑”，做个聪明的“防诈骗er”，大胆向电信欺诈喊CUT！>>详细

【安全】保护家庭网络安全的十种方法

如果家庭网络中路由器未经妥善保护，那么犯罪分子就能轻易攻破家庭网络，从而劫持路由器DNS、窃取用户个人敏感信息、降低网速、攻击网络上的其他设备。>>详细

【反洗钱小课堂】防范“套路贷”“校园贷”，这些知识您一定要牢记！

要树立正确的消费观，量入为出理性借贷，不要不计后果盲目借贷。>>详细

【金融知识普及月】提升金融素养，争做金融好网民！

“金融好网民”应该讲诚信、守底线，不制造、不传播金融谣言，自觉抵制非法金融广告、非法集资、电信诈骗、银行卡盗刷以及“校园贷”、“现金贷”等现象。>>详细

金融小课堂丨信用卡电信诈骗大盘点

随着经济发展，使用信用卡的人越来越多，信用卡的诈骗也随之而来，所以大家要加强对信用卡诈骗的防范。今天带您一起盘点围绕着信用卡的诈骗手法。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年8月30日-9月5日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞550个，其中高危漏洞168个、中危漏洞309个、低危漏洞73个。漏洞平均分值为5.66。上周收录的漏洞中，涉及0day漏洞420个（占76%），其中互联网上出现“Remote Mouse目录遍历漏洞、WordPress Duplicate Page跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Foxit产品安全漏洞

Foxit PDF Reader和Foxit PDF Editor都是中国福昕（Foxit）公司的产品。Foxit PDF Reader是一款PDF阅读器。Foxit PDF Editor是一款PDF编辑器。Foxit PhantomPDF是中国福昕（Foxit）公司的一款PDF文档阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞在处理XFA表单或链接对象期间通过递归函数调用堆栈，在将PDF文档转换为不同的文档格式期间发生内存损坏，导致NULL指针取消引用，或越界读取或写入等。

CNVD收录的相关漏洞包括：Foxit Reader和Foxit PhantomPDF拒绝服务漏洞、Foxit Reader和Foxit PhantomPDF缓冲区溢出漏洞（CNVD-2021-66414、CNVD-2021-66412）、Foxit PDF Reader和Foxit PDF Editor越界读取漏洞、Foxit PDF Reader和Foxit PDF Editor文件写入漏洞、Foxit PDF Reader和Foxit PDF Editor空指针引用漏洞、Foxit PDF Reader和Foxit PDF Editor拒绝服务漏洞（CNVD-2021-66410、CNVD-2021-66411）。其中“Foxit Reader和Foxit PhantomPDF缓冲区溢出漏洞（CNVD-2021-66414、CNVD-2021-66412）、Foxit PDF Reader和Foxit PDF Editor空指针引用漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码，控制受影响的系统。

CNVD收录的相关漏洞包括：Microsoft Windows/Windows Server远程代码执行漏洞（CNVD-2021-67493、CNVD-2021-67492、CNVD-2021-67491、CNVD-2021-67490、CNVD-2021-67489、CNVD-2021-67488）、Microsoft Windows/Windows Server权限提升漏洞（CNVD-2021-67495、CNVD-2021-67494）。其中“Microsoft Windows/Windows Server远程代码执行漏洞（CNVD-2021-67491、CNVD-2021-67490、CNVD-2021-67489、CNVD-2021-67488）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞使缓冲区溢出，并在系统上执行任意代码，或导致应用程序崩溃，获取敏感信息等。

CNVD收录的相关漏洞包括：Google Chrome WebRTC代码执行漏洞（CNVD-2021-67550、CNVD-2021-67551）、Google Chrome WebApp Installs代码执行漏洞、Google Chrome Web Share代码执行漏洞、Google Chrome TabStrip缓冲区溢出漏洞、Google Chrome Sign-In代码执行漏洞、Google Chrome Permissions代码执行漏洞、Google Chrome Navigation信息泄露漏洞（CNVD-2021-67547）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR M4300-28G等都是美国网件（NETGEAR）公司的一款网管型交换机。NETGEAR EX7000等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R8900等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R9000等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR D7800等都是美国网件（NETGEAR）公司的产品。NETGEAR R7500是一款无线路由器。NETGEAR WNDR4300是一款无线路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品权限提升漏洞（CNVD-2021-67654、CNVD-2021-66982、CNVD-2021-66981、CNVD-2021-67655）、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-67658、CNVD-2021-67657、CNVD-2021-67656、CNVD-2021-67653）。目前，厂商已经发布了上述漏洞的修补程序。

Linux kernel信息泄露漏洞（CNVD-2021-68182）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，Linux kernel被披露存在信息泄露漏洞。攻击者可利用该漏洞读取未初始化的内存。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Foxit产品被披露存在多个漏洞，攻击者可利用漏洞在当前登录用户的上下文中执行JavaScript，在BIG-IP系统上造成拒绝服务(DoS)，执行SSRF攻击，通过BIGIP管理口或Self IP地址访问管理页面，来执行任意的系统命令，创建或删除文件，或禁用服务。此外，Microsoft、Google、NETGEAR等多款产品被披露存在多个漏洞，攻击者可利用漏洞当前用户的上下文中执行任意代码，控制受影响的系统，远程执行命令，从而获得系统权限。另外，Linux kernel被披露存在信息泄露漏洞。攻击者可利用漏洞读取未初始化的内存。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、成方三十二、中国银行保险监督管理委员会、交通银行、华夏银行微刊、南京银行、大连银行、广西北部湾银行微生活、常熟农商银行微银行报道

责任编辑：韩希宇