国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞643个，互联网上出现“PHP Event Calendar Lite Edition存在SQL注入漏洞、Hitachi Vantara Pentaho访问控制错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【安全】防泄密！这些小知识请拿好！

根据《中华人民共和国刑法》第二百一十九条有下列侵犯商业秘密行为之一， 给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金；造成特别严重后果的，处三年以上七年以下有期徒刑，并处罚金。>>详细

警惕人脸识别使用的风险！

近两年来攻击方式及工具越发成熟：3D打印、面具攻击、算法攻击、前端造假、摄像头劫持……针对人脸技术的攻击一直在不断的迭代升级。>>详细

“断卡”行动新进展：银行、支付机构清理异常卡14.8亿张

根据全国“断卡”行动推进会通报，全国电信网络诈骗犯罪发案数量连续3个月下降，月均涉案单位银行账户数量同比大幅下降。>>详细

【上银支付】反诈拒赌 安全支付

电信网络诈骗“陷阱重重”，跨境赌博“逢赌必输十赌十骗”，诈骗手法千变万化，但万变不离其宗。我们一起将“三不一多、 六个一律，八个凡是”牢记心中。快快擦亮眼睛，守住我们的钱袋子~>>详细

【全民反诈】小心新型诈骗！别让“屏幕共享”变“共享钱包”！

近年来，随着线上会议的广泛运用。“屏幕共享”的使用也逐渐普及，给工作和生活带来便利的同时，也被不法分子利用以实施新型诈骗。>>详细

CFCA受邀参加“信任广州”数字化平台发布会 与广州市政务数据服务管理局达成合作

“信任广州”数字化平台利用区块链的可信共识、信息防篡改、应用可追溯等技术特性和数字证书的可信认证能力，结合CFCA无纸化电子签章等产品打造可信认证平台，为广州市移动政务总门户“穗好办”等政务服务平台提供电子印章申请、制作、签署与举证等服务。>>详细

辽宁银保监局：合理使用信用卡 理性适度消费

消费者如果无法按期履约，应按照合同条款约定与银行提前协商沟通解决，不要轻信第三方“代理投诉”，保护个人信息安全，依法依规理性维权。>>详细

信用卡交易密码设置攻略，足不出户轻松办

信用卡密码忘记了或者锁定了怎么办？别慌哦！快来一起学习如何通过手机银行App办理信用卡密码设置业务吧。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年11月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞643个，其中高危漏洞196个、中危漏洞411个、低危漏洞36个。漏洞平均分值为6.0。上周收录的漏洞中，涉及0day漏洞426个（占66%），其中互联网上出现“PHP Event Calendar Lite Edition存在SQL注入漏洞、Hitachi Vantara Pentaho访问控制错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存。转发，语音邮件，邮件过滤筛选等功能。Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Exchange Server远程代码执行漏洞（CNVD-2021-90307）、Microsoft Windows/Windows Server权限提升漏洞（CNVD-2021-90797、CNVD-2021-90800、CNVD-2021-90799、CNVD-2021-90798、CNVD-2021-90803、CNVD-2021-90802、CNVD-2021-90801）。其中，“Microsoft Windows/Windows Server权限提升漏洞（CNVD-2021-90800、CNVD-2021-90799、CNVD-2021-90801）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Advantech产品安全漏洞

Advantech R-SeeNet是中国台湾研华（Advantech）公司的一个工业监控软件。该软件基于snmp协议进行监控平台，并且适用于Linux。Windows平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在数据库中执行任意SQL查询，升级系统上的权限。

CNVD收录的相关漏洞包括：Advantech R-SeeNet SQL注入漏洞（CNVD-2021-90861、CNVD-2021-90869、CNVD-2021-90860、CNVD-2021-90864、CNVD-2021-90863、CNVD-2021-90862、CNVD-2021-90868）、Advantech R-SeeNet权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe After Effects（简称“AE”）是Adobe公司推出的一款图形视频处理软件，适用于从事设计和视频特技的机构，包括电视台、动画制作公司，个人后期制作工作室以及多媒体工作室。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe After Effects内存缓冲区越界访问漏洞（CNVD-2021-89928、CNVD-2021-89937、CNVD-2021-89929、CNVD-2021-89930、CNVD-2021-89931、CNVD-2021-89932、CNVD-2021-89935、CNVD-2021-89934）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Mozilla Firefox拒绝服务漏洞（CNVD-2021-89693）、Mozilla Firefox缓冲区溢出漏洞（CNVD-2021-89692、CNVD-2021-90097、CNVD-2021-90096、CNVD-2021-90100、CNVD-2021-90103）、Mozilla Firefox权限许可和访问控制问题漏洞（CNVD-2021-90104、CNVD-2021-90106）。其中，“Mozilla Firefox拒绝服务漏洞（CNVD-2021-89693）、Mozilla Firefox权限许可和访问控制问题漏洞（CNVD-2021-90104）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Amazon AWS SDK信息泄露漏洞

Amazon AWS SDK for Android是美国亚马逊（Amazon）公司的一款基于Andorid平台的用于Amazon Web Services（AWS）的软件开发工具包。上周，Amazon AWS SDK 1.7.22及之前版本被披露存在信息泄露漏洞。攻击者可利用该漏洞通过读取程序中以明文形式存储的凭据访问AWS S3开发人员文件导致信息泄露。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用该漏洞提升权限，执行任意代码。此外，Advantech，Adobe，Mozilla等多款产品被披露存在多个漏洞，攻击者可利用漏洞在数据库中执行任意SQL查询，提升权限，执行任意代码等。另外，Amazon AWS SDK 1.7.22及之前版本被披露存在信息泄露漏洞。攻击者可利用该漏洞通过读取程序中以明文形式存储的凭据访问AWS S3开发人员文件导致信息泄露。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国证券报·中证网、证券日报、中国光大银行、平安银行、上海银行、南京银行、贵州银行报道

责任编辑：韩希宇