国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞620个，互联网上出现“B2evolution跨站脚本漏洞（CNVD-2021-100271）、ZZCMS SQL注入漏洞（CNVD-2021-99769）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

全力引入智能科技手段：银行打造消费者权益保护新格局

今年以来，各银行业金融机构通过完善消费者权益保护工作机制建设、加强消费者金融知识宣传教育、全力引入智能科技手段阻断电信诈骗等举措，切实提升消费者权益保护工作能力与水平。>>详细

数据误用、泄露危害大！企业如何搭上大数据安全管理“快车”？

数据安全治理需要从业务战略和风险分析出发，将管理和技术相结合，对数据资产进行梳理，确定数据分类分级，根据对威胁源、攻击方式、数据资产、业务风险的识别，制定数据安全管理策略。>>详细

2021信创“大比武”活动圆满收官 五大赛道信创精英蓄势再启航！

2021信创“大比武”活动包含金融场景适配验证等五大赛道，于2021年7月正式启动，12月五大赛道全部圆满收官。>>详细

方寸卡片中的金融知识：警惕办卡“黑中介”

当前，一些黑中介办卡行为“大行其道”，对我们的资金安全造成极大的威胁。黑中介办卡骗局套路多？无须苦恼，快来学习如何“见招拆招”！>>详细

“围猎”开源软件风险 CFCA推出开源技术安全治理方案

为了帮助开源技术应用机构更好地满足监管要求与客户需求，促进国内开源技术健康合规发展，国内相关数字安全从业机构一直在研究、推动开源技术治理工作，并形成了开源技术一体化解决方案。>>详细

【反洗钱小课堂】不要出租自己的账户替他人提现！

不要轻易受朋友之托或受利益诱惑，使用自己的个人账户或公司账户为他人提取现金，为他人洗钱提供便利。>>详细

抵制非法买卖账户，守护金融信息安全

不出租/出借/出售金融账户、银行卡和U盾，既是对您权利的保护，也是守法公民应尽的义务。>>详细

微众银行隐私保护方案WeDPR荣获可信区块链高价值案例

方案依托区块链等分布式可信智能账本技术，融合学术界、产业界隐私保护前沿成果，兼顾用户体验和监管治理，针对隐私保护核心应用场景提供极致优化的技术方案。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年12月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞620个，其中高危漏洞195个、中危漏洞351个、低危漏洞74个。漏洞平均分值为5.75。上周收录的漏洞中，涉及0day漏洞303个（占49%），其中互联网上出现“B2evolution跨站脚本漏洞（CNVD-2021-100271）、ZZCMS SQL注入漏洞（CNVD-2021-99769）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Huawei产品安全漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞导致越界读取，内核崩溃，设备重启等 。

CNVD收录的相关漏洞包括：Huawei HarmonyOS堆栈缓冲区溢出漏洞、Huawei HarmonyOS输入验证错误漏洞（CNVD-2021-99974、CNVD-2021-99973、CNVD-2021-99977、CNVD-2021-99978、CNVD-2021-99981）、Huawei HarmonyOS分布式文件组件空指针访问漏洞、Huawei Emui和Magic UI编解码器检测模块内存泄露漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞通过探测加载外部协议的错误消息来识别已安装的应用程序，重定向URL到恶意网站，导致缓冲区溢出等。

CNVD收录的相关漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2021-99616）、Mozilla Firefox跨站脚本漏洞（CNVD-2021-99615、CNVD-2021-99622）、Mozilla Firefox资源管理错误漏洞（CNVD-2021-99619）、Mozilla Firefox条件竞争问题漏洞、Mozilla Firefox缓冲区溢出漏洞（CNVD-2021-99625）、Mozilla Firefox输入验证错误漏洞（CNVD-2021-99624）、Mozilla Firefox访问控制错误漏洞（CNVD-2021-99623）。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Google Chrome Swiftshader缓冲区溢出漏洞（CNVD-2021-100599）、Google Chrome file API代码执行漏洞、Google Chrome Swiftshader代码执行漏洞（CNVD-2021-100601）、Google Chrome ANGLE安全绕过漏洞、Google Android权限提升漏洞（CNVD-2021-100605、CNVD-2021-100604）、Google Chrome autofill安全绕过漏洞（CNVD-2021-100607）、Google Chrome extensions缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Spectrum Copy Data Management是美国国际商业机器公司（IBM）的实现数据中心副本管理流程的现代化、简化和自动化。IBM DB2是一套关系型数据库管理系统。IBM Cloud Pak for Security(CP4S)是一个开放式安全平台，可连接到您的现有数据源，生成更深入的洞察，并使您能够利用自动化功能更快采取行动。IBM WebSphere Application Server是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。Jazz是IBM Rational面向软件交付技术的下一代协作平台。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞泄露敏感信息或消耗内存资源，访问其他数据库并读取或修改文件等。

CNVD收录的相关漏洞包括：IBM Spectrum Copy Data Management加密问题漏洞、IBM DB2信息泄露漏洞（CNVD-2021-99669）、IBM Cloud Pak for Security授权问题漏洞、IBM Db2权限提升漏洞（CNVD-2021-99672）、IBM Db2访问控制错误漏洞、IBM WebSphere Application Server拒绝服务漏洞（CNVD-2021-99670）、IBM Jazz for Service Management跨站脚本漏洞（CNVD-2021-99676）、IBM Jazz for Service Management XML外部实体注入漏洞。其中，“IBM Cloud Pak for Security授权问题漏洞、IBM Db2访问控制错误漏洞、IBM WebSphere Application Server拒绝服务漏洞（CNVD-2021-99670）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Amazon WorkSpaces缓冲区溢出漏洞

Philips Healthcare Tasy Electronic Medical Record (EMR)是一个全面的医疗信息学解决方案，涉及医疗环境的所有领域，将医疗保健连续体中临床和非临床领域的点连接起来。上周，Philips Healthcare Tasy Electronic Medical Record (EMR)被披露存在SQL注入漏洞。攻击者可通过CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST或CD_USUARIO_CONVENIO参数利用该漏洞进行SQL注入攻击。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Huawei产品被披露存在多个漏洞，攻击者可利用该漏洞导致越界读取，内核崩溃，设备重启等。此外，Mozilla、Google、IBM等多款产品被披露存在多个漏洞，攻击者可利用该漏洞泄露敏感信息，提升权限，执行任意代码，导致拒绝服务，缓冲区溢出等。另外，Amazon WorkSpaces被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在内核模式下执行任意代码或通过特制的I/O请求数据包导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、金融时报、交通银行微银行、上海银行、广州农村商业银行报道

责任编辑：王超