国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞585个，互联网上出现“AyaCMS跨站请求伪造漏洞、Sourcecodester Complaint Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

首份金融业隐私计算白皮书：国内应用领先国际，适时规划平台互联互通

《报告》提出，数据要素化时代，互联互通终极目标是建设跨层级、跨机构、跨行业乃至跨国境“数据流通网”。因此互联互通须以终为始、自上而下全局规划，前瞻性选择社会整体最优路径。>>详细

求新求快先求稳！区块链产品安全合规“试金石”在哪里？

近期，杭州溪塔科技有限公司自研的区块链软件套件“Rivus企业间协作软件V1.0”成功通过了中国金融认证中心（CFCA）的区块链产品检测。>>详细

《数据安全法》实施效应显现 外商关注跨境数据安全审查评估细则

《数据安全法》中涉及的数据跨境流动规则，首先在数据分级分类保护制度基础上，确立不同数据的出境安全管理规则。>>详细

工业互联网安全责任重，防护难度大，CFCA方案一站式解决！

CFCA针对工业互联网领域，面向钢铁、电力、水泥、采矿等行业形成了一套完整的安全解决方案。>>详细

银联手机闪付推出一键绑卡功能 免输卡号安全绑卡更便捷

用户将系统自带钱包升级到最新版本，点击添加银行卡，经身份安全验证和授权，免输卡号实现签约绑卡，用户支付体验得到进一步提升。>>详细

CFCA信令云：统一身份认证平台 一次认证全网通行

CFCA统一身份认证平台——信令云提供了一种跨应用、跨平台、跨机构、跨区域的用户身份认证和访问管理的方式，为客户提供统一的用户管理、身份认证和权限管理，实现全部应用的单点登录，并加强信息安全的审计，提高系统的可用性、安全性，以及用户使用的方便性。>>详细

有温度的消保 | 信用卡代还诈骗陷阱，小心千万别中招！

超前消费虽好，但也不能过度呦~适度消费，理性消费，不给骗子可乘之机。>>详细

守住钱袋子，保障金融消费者合法权益

随着电子金融领域的持续发展，越来越多用户参与到了电子金融业务中，同时维权意识也在日益提升。>>详细

专栏 | 蒙商银行老年人防诈骗指南

诈骗分子无论怎样花言巧语，手法如何翻新，最后都会落在要钱上，千万不要轻信来历不明的电话、短信，不要轻易通露自己的身份和银行卡的信息。>>详细

【消费者权益保护】网购退款识骗局

老人作为易受骗人群，在网上购物时最好有人陪同，若老人单独网购，填写的收货人或联系人最好是成年子女，而非本人。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年11月15日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞585个，其中高危漏洞137个、中危漏洞409个、低危漏洞39个。漏洞平均分值为5.77。上周收录的漏洞中，涉及0day漏洞393个（占67%），其中互联网上出现“AyaCMS跨站请求伪造漏洞、Sourcecodester Complaint Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Reader（也被称为Acrobat Reader）是Adobe公司开发的一款PDF文件阅读软件。Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。Adobe InCopy是Adobe公司推出的专业文字处理程序，与Adobe InDesign集成在一起。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Adobe InCopy内存越界访问漏洞（CNVD-2021-87304）、Adobe Acrobat/Reader空指针解引用漏洞（CNVD-2021-87305、CNVD-2021-87307、CNVD-2021-87306、CNVD-2021-87308、CNVD-2021-87309、CNVD-2021-87310）、Adobe Acrobat/Reader释放后重用漏洞（CNVD-2021-87312）。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows Active Directory是美国微软（Microsoft）公司的一个负责架构中大型网络环境的集中式目录管理服务。Microsoft Windows Installer是美国微软（Microsoft）公司的Windows 操作系统的一个组件。为安装和卸载软件提供了标准基础。Microsoft Windows Media Foundation是适用于Windows的下一代多媒体平台。Microsoft Windows Diagnostic Hub是美国微软（Microsoft）公司的一款应用程序。它不仅仅是任务管理器，也是设备诊断中心。此应用程序将Windows开发人员工具与UWP功能相结合，以获取新信息和功能。Microsoft Windows NTFS是美国微软（Microsoft）公司的一个为计算机文件服务的文件系统。Microsoft Dynamics 365是一套适用于跨国企业的ERP业务解决方案。Microsoft Windows Fastfat Driver是美国微软（Microsoft）公司的一个完整的文件系统，它解决了各种问题，例如在磁盘上存储数据、与缓存管理器交互以及处理各种I/O操作，例如文件创建、对文件执行读/写、设置文件信息以及对文件系统执行控制操作。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在目标主机上执行代码。

CNVD收录的相关漏洞包括：Microsoft Windows Active Directory权限提升漏洞、Microsoft Windows Installer权限提升漏洞、Microsoft Windows Media Foundation远程代码执行漏洞、Microsoft Windows Diagnostic Hub权限提升漏洞、Microsoft Windows NTFS权限提升漏洞、Microsoft Dynamics 365远程代码执行漏洞、Microsoft Windows NTFS远程代码执行漏洞、Microsoft Windows Fastfat Driver权限提升漏洞。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Access Manager是美国IBM公司的一款应用于信息安全管理的产品。IBM Sterling Secure Proxy是一个用于确保组织非保护区（DMZ）中文件安全传输的应用程序代理。IBM Ts7700是美国Ibm公司的一款大型机虚拟磁带解决方案。用于优化数据安全性和业务连续性。IBM AIX是美国IBM公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。IBM QRadar User Behavior Analytics（UBA）是美国IBM公司的一款用户行为分析软件。IBM QRadar Advisor with Watson是美国IBM公司的一套安全威胁分析解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞解密高度敏感的信息，从系统发送未经授权的请求，进而探测系统内网，执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Security Access Manager加密问题漏洞、IBM Sterling Secure Proxy服务器端请求伪造漏洞、IBM TS7700授权问题漏洞、IBM AIX拒绝服务漏洞（CNVD-2021-88195、CNVD-2021-88194）、IBM Maximo Asset Management CSV注入漏洞（CNVD-2021-88198）、IBM QRadar User Behavior Analytics跨站请求伪造漏洞、IBM QRadar Advisor with Watson跨站脚本漏洞。其中，“IBM TS7700授权问题漏洞、IBM Maximo Asset Management CSV注入漏洞（CNVD-2021-88198）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SIMATIC PCS 7是一套过程控制系统。SIMATIC WinCC是一套自动化的数据采集与监控（SCADA）系统。Siemens Climatix Pol909是德国西门子（Siemens）公司的一个智能网络模块。Capital VSTAR是一个完整的解决方案。Nucleus NET模块集成了一系列符合标准的网络和通信协议、驱动程序和实用程序，以在任何嵌入式设备中提供全功能的网络支持。Nucleus RTOS是一种基于微内核的实时操作系统。Siemens Nucleus ReadyStart是一个捆绑式解决方案。用于加速完整系统的快速启动并提供丰富的板级支持包（Bsp）。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取敏感数据，导致拒绝服务条件等。

CNVD收录的相关漏洞包括：Siemens SIMATIC PCS 7和SIMATIC WinCC路径遍历漏洞（CNVD-2021-89422、CNVD-2021-89425）、Siemens Climatix POL909 (AWM)信息泄露漏洞、Siemens SIMATIC PCS 7和SIMATIC WinCC日志信息泄露漏洞、多款Siemens产品缓冲区溢出漏洞（CNVD-2021-89441、CNVD-2021-89442）、多款Siemens产品越界读取漏洞 、Siemens Nucleus ReadyStart拒绝服务漏洞。其中，“Siemens SIMATIC PCS 7和SIMATIC WinCC路径遍历漏洞（CNVD-2021-89422）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WildBit Viewer缓冲区溢出漏洞（CNVD-2021-88229）

WildBit Viewer是一款带有幻灯片放映和编辑器的小巧型图像查看器。上周，WildBit Viewer被披露存在缓冲区溢出漏洞。攻击者可通过特制tga文件利用该漏洞导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致拒绝服务等。此外，Microsoft、IBM、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞解密高度敏感的信息，从系统发送未经授权的请求，进而探测系统内网，提升权限，执行任意命令，导致拒绝服务等。另外，WildBit Viewer被披露存在缓冲区溢出漏洞。攻击者可通过特制tga文件利用该漏洞导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、第一财经、中国银联、中信银行、中国光大银行零售金融、渤海银行、蒙商银行报道

责任编辑：韩希宇