国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞607个，互联网上出现“SeedDMS跨站脚本漏洞（CNVD-2022-05448）、Auerswald COMpact 5500R权限提升漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

一行两会完善反洗钱监管机制 金融机构客户尽职调查措施强化

近年来，随着金融产品和业务模式发生变化，金融行业反洗钱工作出现一些新挑战，为提升我国洗钱和恐怖融资风险防范能力，需要通过制定《办法》进一步完善反洗钱监管制度，加强反洗钱监管。>>详细

打击治理洗钱违法犯罪 11部门联合开展三年行动

坚决遏制洗钱及相关犯罪的蔓延势头，推动源头治理、系统治理和综合治理，构建完善国家洗钱风险防控体系，切实维护国家安全、社会稳定和人民群众利益。>>详细

互联网金融营销宣传藏“猫腻” 四大陷阱需提防

部分机构在互联网页面中暗藏各种“套路”，给消费者自主选择设置障碍。>>详细

中国支付清算协会春节反诈温馨提示：欺诈典型案例及风险防范

中国支付清算协会坚持“为人民群众办实事”的宗旨，汇总国家反诈中心、会员单位、互联网络等发布的相关反欺诈案例素材，编写春节反诈温馨提示，引导普通老百姓正确认知和防范欺诈风险，牢牢守护人民群众的钱袋子安全。>>详细

防范虚假短信诈骗 我们共同努力

除了“冒充银行”短信诈骗，还有冒充“高速ETC、营业执照过期、房管局、通讯运营商”等的短信诈骗。>>详细

专栏 | 大数据时代下你不可不知道的防窥小妙招！

有人说，大数据下，个人将没有隐私，每个人在大数据的映射下仿佛是透明的。大数据时代犹如历史的车轮滚滚向前而不可逆，那么，当代人如何在使用互联网的同时保护个人隐私？>>详细

骗子想发过年财？别上了他们的当！

即将迎来春节假期，想着能早日拥抱家的温暖，你是不是已经放松了警惕？不法分子正借此机会蠢蠢欲动，千万不要上当了！>>详细

银保机构IT外包风险频发，监管定调将“分级管理”

在监管办法中，银保监会在总则中就要求银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险，并且不得将信息科技管理责任、网络安全主体责任外包。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年1月17日-23日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞607个，其中高危漏洞186个、中危漏洞367个、低危漏洞54个。漏洞平均分值为5.92。上周收录的漏洞中，涉及0day漏洞282个（占46%），其中互联网上出现“SeedDMS跨站脚本漏洞（CNVD-2022-05448）、Auerswald COMpact 5500R权限提升漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat是美国奥多比（Adobe）公司的一套PDF文件编辑和转换工具。Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat and Reader资源管理错误漏洞（CNVD-2022-04528、CNVD-2022-04993、CNVD-2022-04991）、Adobe Acrobat Reader缓冲区溢出漏洞（CNVD-2022-04990）、Adobe Experience Manager跨站脚本漏洞（CNVD-2022-04999、CNVD-2022-05443）、Adobe Bridge缓冲区溢出漏洞（CNVD-2022-05037）、Adobe Experience Manager代码问题漏洞。其中，除“Adobe Experience Manager跨站脚本漏洞（CNVD-2022-04999）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Rust是Mozilla基金会的一款通用、编译型编程语言。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从未初始化的内存位置读取数据，任意代码执行，造成拒绝服务等。

CNVD收录的相关漏洞包括：Mozilla Rust messagepack-rs crate文件读取漏洞（CNVD-2022-04511、CNVD-2022-04510）、Mozilla Rust拒绝服务漏洞（CNVD-2022-04515）、Mozilla Rust代码执行漏洞、Mozilla Rust ckb crate拒绝服务漏洞、Mozilla Rust rdiff crate文件读取漏洞、Mozilla Rust内存破坏漏洞（CNVD-2022-04516）、Mozilla Rust释放后重用漏洞。其中，除“Mozilla Rust rdiff crate文件读取漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei S5700和Huawei S6700都是中国华为（Huawei）公司的一款企业级交换机产品。Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei HarmonyOS Wearables是中国华为（Huawei）公司的一款电子手表。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：Huawei S5700和S5800拒绝服务漏洞、Huawei EMUI堆溢出漏洞、Huawei Emui和Magic UI双重释放漏洞、Huawei Emui和Magic UI配置缺陷漏洞、Huawei HarmonyOS Wearables堆缓冲区溢出漏洞、Huawei HarmonyOS Wearables越界写漏洞（CNVD-2022-05173、CNVD-2022-05172）、Huawei HarmonyOS Wearables加密问题漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Secret Server是一套特权访问管理解决方案。该产品支持密码管理、特权账号识别和特权会话访问监控记录等功能。IBM Security Guardium Data Encryption是一个用于保护组织内敏感数据安全性的软件。IBM FileNet Content Manager是一套针对FileNet P8平台的内容管理解决方案。该方案将文档管理与即用型工作流程工具相结合，可管理图像、视频、Web内容、合规性文档等。IBM Spectrum Copy Data Management是美国国际商业机器公司（IBM）的实现数据中心副本管理流程的现代化、简化和自动化。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在受影响系统上执行任意shell命令。

CNVD收录的相关漏洞包括：IBM Spectrum Copy Data Management信息泄露漏洞（CNVD-2022-05081、CNVD-2022-05082）、IBM Spectrum Copy Data Management输入验证错误漏洞、IBM Security Secret Server信息泄露漏洞（CNVD-2022-05088、CNVD-2022-05090）、IBM Security Guardium Data Encryption信息泄露漏洞（CNVD-2022-05124、CNVD-2022-05125）、IBM FileNet Content Manager命令注入漏洞。其中，“IBM Spectrum Copy Data Management输入验证错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ASUS DSL-N14U-B1代码问题漏洞

ASUS DSL-N14U-B1是中国华硕（ASUS）公司的一款路由器设备。上周，ASUS DSL-N14U-B1被披露存在代码问题漏洞。攻击者可利用该漏洞上传任意文件内容作为固件更新。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，Mozilla、Huawei、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞从未初始化的内存位置读取数据，提升权限，任意代码执行，发起拒绝服务攻击等。另外，ASUS DSL-N14U-B1被披露存在代码问题漏洞。攻击者可利用该漏洞上传任意文件内容作为固件更新。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国支付清算协会、第一财经日报、中国证券报·中证网、兰州银行、蒙商银行、安徽农金电子银行报道

责任编辑：韩希宇