国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞502个，互联网上出现“WordPress Plugin Autoptimize Authenticated任意文件上传漏洞、Apache MyFaces跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【安全】此类网站链接莫轻信，谨防被“钓鱼”

目前诈骗分子利用伪基站、改号软件等，可篡改发送短信的手机号码，伪装成各类机构的官方电话号码群发诈骗短信，具有较强的迷惑性，往往让大家难以辨别真假。>>详细

金融信息安全早知道

在面对可疑来电时，最基本的要义就是“个人信息严格保密”。>>详细

保护资金安全 提高防范意识

谨防中奖诈骗、网络购物诈骗、银行卡消费信息诈骗、低息贷款诈骗等，切勿向不明账户转账汇款。>>详细

安全 | 保护个人信息，切勿轻信诈骗短信！

不法分子冒充“市场监督部门”向客户发送诈骗短信，诱骗客户登陆短信中的钓鱼网站，获取客户信息。>>详细

以案说险|网络贷款套路深 擦亮双眼防诈骗

切勿轻信打着“低利息，高额度，快速到账”等幌子的贷款信息，要牢记世界上没有免费的午餐。>>详细

再来一波！新书限量赠送！

近年来，网上银行系统无论在规模，还是在新技术的引入和应用上，都发生了较大变化。如云计算、虚拟化、国密系列算法的应用，对网上银行系统提出了新的安全挑战。>>详细

银联联合各方共同严厉打击电诈和银行卡盗刷等违法行为 专家支招保护资金安全

中国银联积极协助公安机关开展电信网络诈骗等违法犯罪的打击治理，与公安部合作建立疑似电信诈骗涉案银行卡账户比对服务机制，通过筛查识别，提示发卡行进行关联排查，防范银行卡被用于电信诈骗等银行卡犯罪。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年2月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞502个，其中高危漏洞205个、中危漏洞241个、低危漏洞56个。漏洞平均分值为5.98。上周收录的漏洞中，涉及0day漏洞296个（占59%），其中互联网上出现“WordPress Plugin Autoptimize Authenticated任意文件上传漏洞、Apache MyFaces跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat是一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是一款PDF文件阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务 。

CNVD收录的相关漏洞包括：多款Adobe产品缓冲区溢出漏洞（CNVD-2021-11286、CNVD-2021-11285、CNVD-2021-11284、CNVD-2021-11287、CNVD-2021-11297）、多款Adobe产品越界写入漏洞（CNVD-2021-11289、CNVD-2021-11288）、多款Adobe产品越界读取漏洞（CNVD-2021-11292）。其中，除“多款Adobe产品越界写入漏洞（CNVD-2021-11288）、多款Adobe产品越界读取漏洞（CNVD-2021-11292）、多款Adobe产品缓冲区溢出漏洞（CNVD-2021-11297）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Verify Information Queue是一个跨产品集成器，其利用Kafka技术和发布/订阅模型在IBM安全产品之间集成数据。IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行未经授权的活动，获取敏感信息，导致拒绝服务等 。

CNVD收录的相关漏洞包括：IBM Security Verify Information Queue信息泄露漏洞（CNVD-2021-11355、CNVD-2021-11360、CNVD-2021-11362）、IBM Security Verify Information Queue权限提升漏洞、IBM Security Verify Information Queue拒绝服务漏洞、IBM Security Verify Information Queue会话固定漏洞、IBM Planning Analytics Workspace信息泄露漏洞、IBM API Connect跨站脚本执行漏洞。其中，“IBM API Connect跨站脚本执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。TIA Administrator是一个基于web的框架，它可以包含用于管理任务的不同功能模块，以及用于管理SIMATIC软件和许可证的功能。DIGSI 4是SIPROTEC 4和SIPROTEC紧凑型保护装置的操作和配置软件。Siemens SINE CNMS是新一代面向数字图书馆的网络管理系统企业号。Siemens SIMARIS configuration在构建配电系统时支持全数字工程过程，从规划到成本计算和投标准备，再到符合标准的配电系统文件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得持久性或潜在的升级权限，在受影响的系统上创建或覆盖任意文件，以系统权限执行代码等 。

CNVD收录的相关漏洞包括：Siemens JT2Go和Teamcenter Visualization越界写入漏洞、Siemens JT2Go和Teamcenter Visualization内存破坏漏洞（CNVD-2021-11823、CNVD-2021-11829）、Siemens JT2Go和Teamcenter Visualization堆栈缓冲区溢出漏洞、Siemens TIA Administrator权限提升漏洞、Siemens DIGSI 4权限提升漏洞、Siemens SINEMA Server和SINE CNMS目录遍历漏洞、Siemens SIMARIS configuration不安全文件夹权限漏洞。其中，“Siemens TIA Administrator权限提升漏洞、Siemens DIGSI 4权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Asylo是一款用于开发enclave应用程序的开放且灵活的框架。Google Android是美国谷歌（Google）和开放手持设备联盟（简称oha）的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码等 。

CNVD收录的相关漏洞包括：Google Asylo缓冲区溢出漏洞、Google Android Pixel信息泄露漏洞（CNVD-2021-12814）、Google Chrome on iOS注入漏洞、Google Android Kernel组件权限提升漏洞（CNVD-2021-12818、CNVD-2021-12817、CNVD-2021-12816）、Google Android System信息泄露漏洞（CNVD-2021-12820、CNVD-2021-12819）。其中“Google Android Kernel组件权限提升漏洞（CNVD-2021-12818、CNVD-2021-12817、CNVD-2021-12816）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Advantech WebAccess/SCADA本地权限提升漏洞

Advantech WebAccess/SCADA是Advantech公司的一套基于浏览器架构的SCADA软件。上周，AdvantechWebAccess/SCADA被披露存在本地权限提升漏洞。攻击者可利用该漏洞替换二进制文件或加载的模块，从而能以NT SYSTEM权限执行代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码，导致拒绝服务。此外，IBM、Siemens、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获得持久性或潜在的升级权限，执行未经授权的活动，获取敏感信息，在受影响的系统上创建或覆盖任意文件，以系统权限执行代码，导致拒绝服务等。另外，Advantech WebAccess/SCADA被披露存在本地权限提升漏洞。攻击者可利用该漏洞替换二进制文件或加载的模块，从而能以NT SYSTEM权限执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、每日经济新闻、中国工商银行电子银行、中国民生银行、重庆银行、贵州银行、泸州银行报道

责任编辑：韩希宇