国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞622个，互联网上出现“Rescue Dispatch Management System SQL注入漏洞（CNVD-2022-53913）、TOTOLINK EX1200T命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部：加快建立数据分类分级保护、跨境数据流动监管等基本规则

近年来网络安全产业综合实力显著增强，未来应完善制度规则，强化行业数据安全治理能力，加快建立数据分类分级保护、跨境数据流动监管等基本规则。>>详细

工行构筑智能反诈“防护墙” 为客户避免损失超百亿

截至2022年6月末，工行通过自主研发的“融安e信”大数据风控智能服务平台，累计拦截电信诈骗风险交易近50万笔，为客户避免资金损失超过117亿元。>>详细

【服务】借记卡支付密码锁定怎么办？

为了您的资金和信息安全，请不要把您的银行账号、密码以任何方式告知他人，不要将银行发送给您的短信验证码以任何方式告知他人。>>详细

工信部组织开展电子认证服务合规性专项整治工作

本次专项整治工作主要面向经工业和信息化部许可的55家电子认证服务机构自2017年7月起提供的电子认证服务，开展时间为通知印发之日起至今年10月30日。>>详细

【以案说险】提防买卖银行卡 警银联合防电诈

广大消费者应充分认识电信网络诈骗的危害性，不断增强个人金融信息保护意识，树立理性消费观念，不贪恋、不攀比、不盲从，切勿将本人身份证件、银行卡转借他人使用，谨防落入电信网络诈骗陷阱。>>详细

【安全课堂】谨防“清退回款”骗局！小京教你如何防范

以“清退回款”为名义的新型骗局正在蔓延，请擦亮双眼，守护好个人财产安全，提高防范意识和识别能力，避免误入“清退回款”骗局。>>详细

【安全】别信！这是冒用“社保”名义的诈骗！

凡以社保名义的来信或来电涉及转账汇款或索要个人信息的，请拨打当地12333电话或到社保经办机构现场核实，谨防上当受骗。>>详细

【消保黔行】那些年我们收到过的短信诈骗

虽然现在沟通很少用短信了，但是我们每天还是会收到各种银行交易提示、服务提醒，其中，就有一些诈骗短信混入其中，让心宝儿带你来一一辨别。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年7月25日-31日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞622个，其中高危漏洞181个、中危漏洞243个、低危漏洞198个。漏洞平均分值为5.14。上周收录的漏洞中，涉及0day漏洞470个（占76%），其中互联网上出现“Rescue Dispatch Management System SQL注入漏洞（CNVD-2022-53913）、TOTOLINK EX1200T命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，使用解析代码中的错误来远程使调制解调器崩溃，导致远程权限提升等。

CNVD收录的相关漏洞包括：Google Android越界读取漏洞（CNVD-2022-53368、CNVD-2022-53384）、Google Android缓冲区溢出漏洞（CNVD-2022-53367）、Google Android越界写入漏洞（CNVD-2022-53369、CNVD-2022-53385）、Google Android信息泄露漏洞（CNVD-2022-53372、CNVD-2022-53381、CNVD-2022-53380）。其中， “Google Android越界读取漏洞（CNVD-2022-53368）、Google Android缓冲区溢出漏洞（CNVD-2022-53367）、Google Android越界写入漏洞（CNVD-2022-53369、CNVD-2022-53385）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cybozu产品安全漏洞

Cybozu Garoon是日本才望子（Cybozu）公司的一套门户型OA办公系统。该系统提供门户、E-mail、书签、日程安排、公告栏、文件管理等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，禁用添加类别，更改数据，并在用户浏览器中在易受攻击的网站上下文中执行任意HTML和脚本代码等。

CNVD收录的相关漏洞包括：Cybozu Garoon授权问题漏洞（CNVD-2022-53804、CNVD-2022-54300、CNVD-2022-54304）、Cybozu Garoon输入验证错误漏洞（CNVD-2022-53806、CNVD-2022-54301、CNVD-2022-54303）、Cybozu Garoon操作限制绕过漏洞（CNVD-2022-54299）、Cybozu Garoon跨站脚本漏洞（CNVD-2022-54343）。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei Emui是中国Huawei公司的一款基于Android开发的移动端操作系统。Honor Magic Ui是中国Honor公司的一款基于Android开发的移动端操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的请求，越界访问，进行拒绝服务攻击等。

CNVD收录的相关漏洞包括：Huawei HarmonyOS拒绝服务漏洞（CNVD-2022-53575、CNVD-2022-53574）、Huawei HarmonyOS资源管理错误漏洞（CNVD-2022-53578、CNVD-2022-53579）、Huawei HarmonyOS权限控制错误漏洞、Huawei HarmonyOS拒绝服务漏洞（CNVD-2022-53576）、Huawei Emui和Honor Magic Ui缓冲区溢出漏洞、Huawei EMUI输入验证拒绝服务漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞通过多种协议访问网络破坏MySQL Server，进而导致MySQL Server挂起或频繁重复崩溃（完全拒绝服务）。

CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2022-54312、CNVD-2022-54311、CNVD-2022-54310、CNVD-2022-54313、CNVD-2022-54315、CNVD-2022-54314、CNVD-2022-54317、CNVD-2022-54316）。目前，厂商已经发布了上述漏洞的修补程序。

Apache HTTP Server输入验证错误漏洞

Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。上周，Apache HTTP Server被披露存在输入验证错误漏洞，该漏洞源于对调用r：parsebody(0)的lua脚本的恶意请求输入未能限制，攻击者利用该漏洞导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，使用解析代码中的错误来远程使调制解调器崩溃，导致远程权限提升等。此外，Cybozu、Huawei、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，禁用添加类别，更改数据，并在用户浏览器中在易受攻击的网站上下文中执行任意HTML和脚本代码，进行拒绝服务攻击等。另外，Apache HTTP Server被披露存在输入验证错误漏洞，攻击者利用该漏洞导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国证券报·中证网、工业和信息化部信息技术发展司、中国工商银行、中国农业银行微银行、中国建设银行、中国邮政储蓄银行、北京银行微银行、贵州银行报道

责任编辑：韩希宇