国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞484个，互联网上出现“webTareas路径遍历漏洞、webTareas跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

国家网信办拟建立数据分类分级保护制度

《意见稿》明确，按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据。>>详细

解析新型套路！利用数字人民币诈骗和洗钱，多个犯罪团伙被抓捕

数字人民币的可控匿名性是以风险可控为前提的有限匿名，在保护合理的匿名需求同时，保持对犯罪行为的打击能力。等待骗子们的结局，终是天网恢恢疏而不漏。>>详细

身份证放在手机钱包更安全吗？苹果被曝将上线数字证件引发争议

数字身份系统的参与方应该制定更详细的方案，确保用户在使用身份验证功能时的个人隐私受到保护。>>详细

敏感信息需单独同意，银行业务将如何优化调整

一方面要做精自有的数字资产，另一方面要提升模型能力，隐私计算将会成为重要的科技能力。>>详细

隐私计算技术正成为刚需 银行投入了大量精力

近年来，大数据、云计算、人工智能等新兴技术与金融行业的深度融合，孕育了新的金融服务产品和模式。>>详细

青岛银行“鹰眼”智慧反诈守护民众钱袋子

青岛银行“鹰眼”智能监控平台于2020年9月正式上线，该系统利用大数据平台与运营管理平台的交互，具有海量数据处理、预警实时触发、风险处置全流程闭环管控等业界领先功能。>>详细

支付为民 开户不难丨风险服务两手抓，多管齐下防电诈

最近，根据中国人民银行、公安部、银保监会的要求，我们集中开展了以“支付为民 开户不难”为主题的一系列宣传活动，并将相关要求严格落实到实际工作中。>>详细

【努客儿安全课堂】冒充电商客服诈骗知多少

购物理赔操作请通过平台官方网站或App进行，拒绝和所谓的“理赔客服”私下联系，谨防以“刷流水”为由向指定账户转账的诈骗，切莫听信不法分子骗词。如果被骗，请及时报警。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年11月8日-14日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞484个，其中高危漏洞104个、中危漏洞328个、低危漏洞52个。漏洞平均分值为5.58。上周收录的漏洞中，涉及0day漏洞344个（占71%），其中互联网上出现“webTareas路径遍历漏洞、webTareas跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM InfoSphere Information Server是一个数据集成平台，包含一系列产品，使您能够理解、清理、监控、转换及传送数据，以及协作以弥合业务与IT之间的差距。Ibm InfoSphere DataStage Flow Designer是美国Ibm公司的一个基于 Web 的数据阶段流程设计器。IBM Cognos Analytics是美国IBM公司的一套商业智能软件，可提供有价值的信息、安全的数据治理和报告。IBM Security Guardium是美国IBM公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，非法执行SQL命令窃取数据库敏感数据，越权访问”新作业”页面，远程执行代码等。

CNVD收录的相关漏洞包括：IBM InfoSphere Information Server信息泄露漏洞（CNVD-2021-87010）、IBM Planning Analytics信息泄露漏洞（CNVD-2021-87013）、IBM InfoSphere DataStage Flow Designer代码问题漏洞、IBM Sterling B2B Integrator授权问题漏洞（CNVD-2021-87017）、IBM Cognos Analytics权限提升漏洞（CNVD-2021-87015）、IBM Cognos Analytics远程代码执行漏洞、IBM Security Guardium硬编码凭证漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）。其中“IBM Security Guardium硬编码凭证漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei FusionCompute是中国华为（Huawei）公司的一款计算机虚拟化引擎。该产品提供虚拟资源管理器（VRM）和计算节点代理（CNA）等。Huawei AIS-BW50-00是中国华为（Huawei）公司的一款便携式蓝牙音箱。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致进程异常，劫持设备并伪造UI诱使用户执行恶意命令，在特定场景下处理证书文件时进行命令注入，在目标设备中执行任意代码等。

CNVD收录的相关漏洞包括：Huawei Emui和Magic UI远程DoS漏洞（CNVD-2021-84859）、Huawei Emui和Magic UI配置缺陷漏洞（CNVD-2021-84858、CNVD-2021-84860）、Huawei Emui和Magic UI目录遍历漏洞、Huawei Emui和Magic UI内存访问越界漏洞、Huawei Emui和Magic UI劫持未经验证提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授权问题漏洞。其中“Huawei Emui和Magic UI内存访问越界漏洞、Huawei Emui和Magic UI劫持未经验证提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授权问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Rust是Mozilla基金会的一款通用、编译型编程语言。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞创建释放后使用访问，导致并发程序中的数据竞争的错误，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：Mozilla Rust资源管理错误漏洞（CNVD-2021-85285、CNVD-2021-85301）、Mozilla Rust内存损坏漏洞、Mozilla Rust命令注入漏洞（CNVD-2021-85287）、Mozilla Rust缓冲区溢出漏洞（CNVD-2021-85300、CNVD-2021-85299、CNVD-2021-85298、CNVD-2021-85297、）。其中“Mozilla Rust资源管理错误漏洞（CNVD-2021-85301）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Chrome是由Google开发的一款Web浏览工具。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞获取数据库敏感信息，导致程序崩溃或者拒绝服务等。

CNVD收录的相关漏洞包括：Google Chrome输入验证不足漏洞（CNVD-2021-84801）、Google Chrome WebApp Installer实现不当漏洞、Google Chrome释放后重用漏洞（CNVD-2021-84803、CNVD-2021-84808）、Google Chrome iFrame Sandbox实现不当漏洞、Google Chrome竞争条件漏洞（CNVD-2021-84805）、Google Chrome越界读取漏洞（CNVD-2021-84804）、Google Chrome Blink实现不当漏洞（CNVD-2021-84806）。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-823G命令注入漏洞（CNVD-2021-85889）

D-Link DIR-823G是一款AC1200M双频千兆无线路由器。上周，DIR-823G被披露存在命令注入漏洞。攻击者可通过登录部分的Captcha字段中的shell元字符利用该漏洞执行任意Web脚本。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用该漏洞获取受影响组件敏感信息，非法执行SQL命令窃取数据库敏感数据，越权访问“新作业”页面，远程执行代码等。此外，Huawei、Mozilla、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致进程异常，劫持设备并伪造UI诱使用户执行恶意命令，在特定场景下处理证书文件时进行命令注入，在目标设备中执行任意代码，获取数据库敏感信息，导致程序崩溃或者拒绝服务等。另外，D-Link DIR-823G被披露存在命令注入漏洞。攻击者可通过登录部分的Captcha字段中的shell元字符利用该漏洞执行任意Web脚本。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、第一财经、中国证券报、金融时报、中国邮政储蓄银行、网联清算有限公司报道

责任编辑：韩希宇