国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞677个，互联网上出现“MetInfo SQL注入漏洞（CNVD-2021-74293）、Deskpro跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

上海积极推进数据条例立法 构建网络安全综合治理体系

近年来上海也在不断加强制度、管理、技术三道安全防火墙的建设，采用脱敏加密的方式对个人信息和数据进行剥保护。>>详细

2021年国家网络安全宣传周｜“守护安全，携手行动”网络安全倡议书

在“2021年国家网络安全宣传周”到来之际，中国互联网协会向广大网民朋友发出“守护安全，携手行动”网络安全倡议书。>>详细

上海银保监局：防范人脸识别技术使用风险 金融机构应积极推动互联网应用适老化改造

消费者在享受人脸识别技术带来便利的同时，也要清楚认识到人脸识别可能带来的信息泄露风险，防范因认识不足而在不知情或者在被误导情况下使用人脸识别技术的风险，给不法分子可乘之机。>>详细

中国银联参加第八届国家网络安全宣传周 展现安全创新与自主可控技术

以“网络安全为人民，网络安全靠人民”为主题的2021年国家网络安全宣传周活动在西安市开幕，中国银联以“安全支付，惠及民生”为主题，连续第八年参展。>>详细

CFCA渗透测试：网络安全“高倍显微镜”，让黑客威胁路径无所遁形

为了发现系统漏洞、及时“扎紧篱笆”，网络安全工作者会实施一项驱散“黑客”藏身迷雾的措施——渗透测试。>>详细

带您识破“冒充公检法”骗局，不被骗子洗脑

对于陌生人士的钱款交易要求，请谨慎对待，不要轻信所谓的“安全账户”。付款前，需先对付款金额、收款人、收款账户信息进行仔细核实。>>详细

金融信息安全 | 电信网络诈骗如何防范篇

在面对可疑来电时，最基本的要义就是“个人信息严格保密”。>>详细

【防范诈骗】河北银行手机银行安全使用手册

为了保障您的资金安全和交易安全，手机支付需警惕，安全指南要牢记。>>详细

【金融知识普及月】安全用卡谨防诈骗

一旦卡发生交易或资金变动，持卡人即能第一时间通过短信获悉。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年9月27日-10月10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞677个，其中高危漏洞161个、中危漏洞446个、低危漏洞70个。漏洞平均分值为5.51。上周收录的漏洞中，涉及0day漏洞600个（占89%），其中互联网上出现“MetInfo SQL注入漏洞（CNVD-2021-74293）、Deskpro跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows DNS是一个域名解析服务。Microsoft Windows Kernel是Windows操作系统的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞实现远程代码执行。

CNVD收录的相关漏洞包括：Microsoft Windows和Windows Server远程代码执行漏洞（CNVD-2021-74287、CNVD-2021-74286、CNVD-2021-74285、CNVD-2021-74290、CNVD-2021-74289、CNVD-2021-74288）、Microsoft Windows Server远程代码执行漏洞（CNVD-2021-74292、CNVD-2021-74291）。其中，“Microsoft Windows Server远程代码执行漏洞（CNVD-2021-74291）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。Adobe Genuine Software Service是一款正版软件服务。Adobe Illustrator 2021是一款矢量绘图软件。Adobe Media Encoder是一款视频和音频编码应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码，实现权限提升。

CNVD收录的相关漏洞包括：Adobe Bridge内存破坏漏洞（CNVD-2021-74107、CNVD-2021-74106）、Adobe Genuine Software Service访问控制错误漏洞、Adobe Illustrator 2021内存破坏漏洞（CNVD-2021-74110）、Adobe Illustrator 2021操作系统命令注入漏洞、Adobe Media Encoder内存越界访问漏洞（CNVD-2021-74111）、Adobe Bridge越界写入漏洞（CNVD-2021-74117、CNVD-2021-74116）。其中，除 “Adobe Genuine Software Service访问控制错误漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

VMWare产品安全漏洞

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞在执行任意代码，获得对系统的未经授权访问，并执行未经身份验证的虚拟机网络设置操作，导致拒绝服务等。

CNVD收录的相关漏洞包括：VMware vCenter Server跨站脚本漏洞（CNVD-2021-74276）、VMware vCenter Server代码执行漏洞、VMware vCenter Server授权问题漏洞（CNVD-2021-74278、CNVD-2021-74284）、VMware vCenter Server路径遍历漏洞、VMware vCenter Server服务器端请求伪造漏洞、VMware vCenter Server拒绝服务漏洞（CNVD-2021-74281、CNVD-2021-74280）。其中，“VMware vCenter Server代码执行漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DELL产品安全漏洞

Dell EMC PowerScale OneFS是一款由API驱动的文件系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞越权获取信息，提升权限等。

CNVD收录的相关漏洞包括：Dell EMC PowerScale OneFS信息泄露漏洞（CNVD-2021-73938、CNVD-2021-73939、CNVD-2021-73942）、Dell EMC PowerScale OneFS日志记录不足漏洞、Dell EMC PowerScale OneFS OS权限提升漏洞、Dell EMC PowerScale OneFS OS命令注入漏洞、Dell EMC PowerScale OneFS权限提升漏洞、Dell EMC PowerScale OneFS权限分配不正确漏洞。其中，“Dell EMC PowerScale OneFS权限提升漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

PDFTools空指针解引用漏洞

PDFTools是一款将PDF文件转换为ePUB格式的工具。上周，PDFTools被披露存在空指针解引用漏洞。攻击者可利用该漏洞导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞实现远程代码执行。此外，Adobe、VMWare、DELL等多款产品被披露存在多个漏洞，攻击者可利用漏洞越权获取信息，在当前用户的上下文中执行任意代码，实现权限提升等。另外，PDFTools被披露存在空指针解引用漏洞。攻击者可利用该漏洞导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国互联网协会、第一财经、中国证券报·中证网、中国银联、中国工商银行电子银行、民生银行手机银行、河北银行、广东南粤银行报道

责任编辑：韩希宇