国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞402个，互联网上出现“libde265堆缓冲区溢出漏洞（CNVD-2021-78426）、libde265堆缓冲区溢出漏洞（CNVD-2021-78427）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部：明年初步建立物联网基础安全标准体系

《指南》提出，到2022年，初步建立物联网基础安全标准体系，研制重点行业标准10项以上，明确物联网终端、网关、平台等关键基础环节安全要求，满足物联网基础安全保障需要，促进物联网基础安全能力提升。>>详细

《广东省公共数据管理办法》解读

已发布的规范性文件，仅从数据目录建设管理、共享平台管理等某一角度进行规范，或仅对公共信用数据等某一类数据的管理做出规定，并未对全省政务数据管理工作进行系统性、统筹性的全面规范，电子证照、电子印章、电子签名和电子档案的使用和规范性要求仍需明确。>>详细

【风险提示】提高警惕！防范虚拟货币非法活动

近年来，一些不法分子打着“金融创新”“区块链”的旗号，通过发行所谓“虚拟货币”“虚拟资产”“数字资产”等方式吸收资金，侵害公众合法权益。>>详细

新型诈骗“杀鸟”盘，刷单需谨慎！

沙鸟盘又称刷单诈骗、兼职诈骗，骗子通过发高薪兼职信息吸引受害者参与，再通过套路不断鼓励受害者投钱代刷，最终骗取钱财。>>详细

百度人脸采集SDK通过CFCA安全测评 专业测评把关巩固安全防线

近日，百度发布了创新炫瞳活体检测，增强对于非活体的拦截能力，同时全面对人脸采集SDK进行安全加固，并委托中国金融认证中心（CFCA）进行人脸采集SDK安全测评。>>详细

不动产登记证书“电子化”时代来临 CFCA“可信电子签章+区块链存证”护航电子证照安全

无论是电子不动产登记证书还是其它电子证照，因其具备便利性、可传播性、易用性等特点，证照的真实性以及是否防篡改无疑成为证照使用中最主要的风险点。>>详细

【安全课堂】当心“升级电子社保卡”的新型骗局

遇事莫慌，核查再定，多一份确认，少一份损失，守护您的资金安全。>>详细

跨境反诈 | 资金安全，“交”给我来守护

结算资金安全关系到企业生产经营命脉。交行高度重视，立即组织排查工作。可是跨境资金流监控显示，客户资金已经出境！时间紧急！客户资金安全岌岌可危！>>详细

网络安全 守护你我

《个人信息保护法》切实将广大人民群众网络空间合法权益维护好、保障好、发展好，使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年10月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞402个，其中高危漏洞117个、中危漏洞231个、低危漏洞54个。漏洞平均分值为5.63。上周收录的漏洞中，涉及0day漏洞334个（占83%），其中互联网上出现“libde265堆缓冲区溢出漏洞（CNVD-2021-78426）、libde265堆缓冲区溢出漏洞（CNVD-2021-78427）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2021-78770、CNVD-2021-78773、CNVD-2021-78772、CNVD-2021-78771、CNVD-2021-78776、CNVD-2021-78775）、Google Android MessageQueueBase.h缓冲区溢出漏洞、Google Android WideVine代码执行漏洞。其中，“Google Android MessageQueueBase.h缓冲区溢出漏洞、Google Android WideVine代码执行漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ZOHO产品安全漏洞

ZOHO ManageEngine ADManager Plus是美国卓豪（ZOHO）公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该软件能够协助AD管理员和帮助台技术人员进行日常管理工作，例如批量管理用户帐户和AD对象、给帮助台技术员指派基于角色的访问权限等。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致远程代码执行。

CNVD收录的相关漏洞包括：ZOHO ManageEngine ADManager Plus文件上传漏洞（CNVD-2021-78727、CNVD-2021-78730、CNVD-2021-78729、CNVD-2021-78728、CNVD-2021-78733、CNVD-2021-78732、CNVD-2021-78731、CNVD-2021-78736）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Rust是Mozilla基金会的一款通用、编译型编程语言。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致内存损坏、数据竞争和未定义的行为等。

CNVD收录的相关漏洞包括：Mozilla Rust命令注入漏洞（CNVD-2021-78744、CNVD-2021-78750）、Mozilla Rust内存破坏漏洞（CNVD-2021-78747）、Mozilla Rust内存泄露漏洞、Mozilla Rust缓冲区溢出漏洞（CNVD-2021-78756、CNVD-2021-78755、CNVD-2021-78754、CNVD-2021-78753）。其中，“Mozilla Rust内存破坏漏洞（CNVD-2021-78747）、Mozilla Rust内存泄露漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Sterling File Gateway是一款用于在内部和外部合作伙伴之间传输文件的应用程序，可让您更加安全可靠地与贸易伙伴进行文件传输。IBM Sterling B2B Integrator是一个交易引擎，是一套根据您的业务需求运行您定义和管理的流程的组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息、上传任意文件等。

CNVD收录的相关漏洞包括：IBM Sterling File Gateway跨站请求伪造漏洞、IBM Sterling File Gateway跨站脚本漏洞（CNVD-2021-78435、CNVD-2021-78438）、IBM Sterling File Gateway信息泄露漏洞（CNVD-2021-78437、CNVD-2021-78442、CNVD-2021-78441）、IBM Sterling B2B Integrator信息泄露漏洞（CNVD-2021-78440）、IBM Sterling File Gateway任意文件上传漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla Rust内存破坏漏洞（CNVD-2021-78745）

Rust是Mozilla基金会的一款通用、编译型编程语言。上周，Mozilla Rust被披露存在内存破坏漏洞。攻击者可利用该漏洞导致未定义的行为，如数据竞争。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。此外，ZOHO、Mozilla、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息、上传任意文件、导致内存损坏、远程代码执行等。另外，Rust被披露存在内存破坏漏洞。攻击者可利用该漏洞导致未定义的行为，如数据竞争。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、广东省政务服务数据管理局网站、中国证券报·中证网、交通银行、北京银行微银行、上海银行、丹东银行报道

责任编辑：韩希宇