国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞719个，互联网上出现“PHPGurukul Online Book Store SQL注入漏洞、Pegasystem PEGA Platform访问控制错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

推进“断卡行动” 工信部加大力度整治电信网络诈骗

针对当前行业治理中最为紧迫的电话卡、物联网卡管理问题，工信部要求以更为严格的精准治理措施，更加深入推进“断卡行动”，包括建立完善“二次实人认证”、快速停复机协同工作机制。>>详细

中国互联网金融协会正式发布《金融行业开源软件评测规范》等三项团体标准

《金融行业开源软件评测规范》的发布将为金融企业和评测机构开展金融领域开源软件的评测，以及对同类开源技术、软件的规格选择提供指导，有利于提升开源软件的质量和成熟度。>>详细

无障碍APP一体化检测方案：让智能技术更友好、更易用

CFCA无障碍APP一体化检测方案，分为技术测评(功能、性能、稳定性、兼容性等)、用户体验测评、合规性检测及远程真机等服务。检测方法包括技术测评、人员访谈、小组讨论、查阅材料等。>>详细

金融科技“赋能”商圈调查：助力数字人民币应用普及 隐私保护与防薅羊毛两大挑战

会员数据信息的保护，一直是他们与大型金融科技平台开展获客导流、支付即积分技术合作、精准促销等技术合作的一大障碍。>>详细

监管剑指系统安全，医疗行业落实等保2.0分几步走？

2019年5月，等保2.0系列标准正式发布，增加了大数据、云计算、移动互联、物联网等新技术的安全要求。可以说，落实等保2.0标准要求，是保障医疗信息化、数字化应用安全的重要手段和方式。>>详细

防范“人脸信息”被非法利用，这些是关键

增强个人信息保护意识，不要轻易在不明软件、小程序上泄露自己的人脸照、动态视频、手持身份证照片等，减少人脸信息被利用的风险。>>详细

光大银行安全攻防实验室助力打击网络诈骗，保护客户资产安全

光大银行安全攻防实验室以实战化、前沿化为宗旨，不断创新，积极开展人脸识别、区块链、容器云等新技术的安全研究，降低银行网络安全风险，并集中检测和溯源钓鱼诈骗，全力保护客户电子交易安全。>>详细

【安全小课堂】银行卡有风险？紧急关头给您支招！

您可以根据需要设置跨境锁、夜间锁和限额锁，以防范您的银行卡被复制、被盗刷的风险。>>详细

@所有商户：警惕！商店收款码不要随意借用！

随着移动支付的普及，有不法分子打上了收款码的主意，“借用”商店收款码，自称转账套现，实为帮助电信诈骗“跑分”洗钱。>>详细

谨防“五大”新型高发骗局

手段纵然千千万，让您汇款都是骗。推销信息多核实，若被诈骗要报警。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年4月26日-5月9日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞719个，其中高危漏洞210个、中危漏洞434个、低危漏洞75个。漏洞平均分值为5.71。上周收录的漏洞中，涉及0day漏洞417个（占58%），其中互联网上出现“PHPGurukul Online Book Store SQL注入漏洞、Pegasystem PEGA Platform访问控制错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Oracle产品安全漏洞

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。上周，上述产品被披露存在输入验证错误漏洞，攻击者可利用漏洞导致MySQL服务器挂起或频繁重复发生崩溃（完整的DOS）。

CNVD收录的相关漏洞包括：Oracle MySQL Server输入验证错误漏洞（CNVD-2021-30889、CNVD-2021-30923、CNVD-2021-30922、CNVD-2021-30921、CNVD-2021-30920、CNVD-2021-30926、CNVD-2021-30925、CNVD-2021-30924）。其中，“Oracle MySQL Server输入验证错误漏洞（CNVD-2021-30889）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Error Reporting（WER）是其中的一个错误报告组件。Microsoft Windows Runtime（.net framework）是美国微软（Microsoft）公司的一款Windows操作系统中必要的功能支持库。Windows Installer是其中的一个基于Windows系统的工具组件，主要用于管理和配置软件服务。Windows Kernel是其中的一个Windows系统内核。Windows Text Service Framework（TSF）是其中的一个文本服务框架。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在用户系统上运行特制的应用程序利用该漏洞以提升的权限执行任意代码，进而安装程序，查看、更改或删除数据或者创建具有全部用户权限的新帐户。

CNVD收录的相关漏洞包括：Microsoft Windows Runtime权限提升漏洞（CNVD-2021-31217、CNVD-2021-31215、CNVD-2021-31219）、Microsoft Windows Error Reporting权限提升漏洞（CNVD-2021-31216）、Microsoft Windows Feedback Hub权限提升漏洞、Microsoft Windows Installer权限提升漏洞（CNVD-2021-31220）、Microsoft Windows Kernel权限提升漏洞（CNVD-2021-31218）、Microsoft Windows TSF权限提升漏洞。其中“Microsoft Windows Feedback Hub权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞破坏脆弱的系统，可以创建一个特制的网页，诱使受害者访问该网页，触发释放后使用错误并在目标系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Chrome资源管理错误漏洞（CNVD-2021-31247、CNVD-2021-31246、CNVD-2021-31239）、Google Chrome输入验证错误漏洞（CNVD-2021-31242）、Google Chrome释放后重用漏洞（CNVD-2021-31251、CNVD-2021-31250）、Google Chrome类型混淆漏洞（CNVD-2021-31241）、Google Chrome缓冲区溢出漏洞（CNVD-2021-31240）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Schneider Electric产品安全漏洞

Schneider Electric PowerLogic是法国施耐德电气（Schneider Electric）公司的一个工控设备。提供提高功率因数来提高电源质量，排除电源故障，从而保护网络、装置和操作员。Schneider Electric Interactive Graphical SCADA System（IGSS）是法国施耐德电气（Schneider Electric）公司的一套用于监控和控制工业过程的SCADA（数据采集与监控系统）系统。Schneider Electric C-Bus Toolkit是法国施耐德电气（Schneider Electric）公司的一款应用程序。用于在个人计算机上运行，配置和调试C-Bus的安装。Schneider Electric EcoStruxure Control Expert（前称Unity Pro）是法国施耐德电气（Schneider Electric）公司的一套用于Schneider Electric逻辑控制器产品的编程软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送特制的TCP数据包利用该漏洞导致仪表重启或远程代码执行，导入恶意CGF（配置组文件）利用该漏洞导致任意读取和写入。

CNVD收录的相关漏洞包括：Schneider Electric PowerLogic缓冲区溢出漏洞、Schneider Electric Interactive Graphical SCADA System缓冲区溢出漏洞（CNVD-2021-31178、CNVD-2021-31177）、Schneider Electric C-Bus Toolkit路径遍历漏洞（CNVD-2021-31171、CNVD-2021-31170、CNVD-2021-31172）、Schneider Electric EcoStruxure Control Expert PLC拒绝服务漏洞、Schneider Electric C-Bus Toolkit权限许可和访问控制问题漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Pegasystem PEGA Platform访问控制错误漏洞

Pegasystem PEGA Platform是英国Pegasystem公司的一套应用程序开发平台。该平台用于开发BPM（业务流程管理）、案例管理、实时决策和CRM（客户关系管理）等应用程序。上周，Pegasystem PEGA Platform被披露存在访问控制错误漏洞。攻击者可可通过=GetWebInfo利用该漏洞获取敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Oracle产品被披露存在多个漏洞，攻击者可利用漏洞导致MySQL服务器挂起或频繁重复发生崩溃（完整的DOS）。此外，Microsoft、Google、Schneider Electric等多款产品被披露存在多个漏洞，攻击者可利用漏洞在用户系统上运行特制的应用程序利用该漏洞以提升的权限执行任意代码，进而安装程序，查看、更改或删除数据或者创建具有全部用户权限的新帐户，发送特制的TCP数据包导致仪表重启或远程代码执行，导入恶意CGF（配置组文件）导致任意读取和写入等。另外，Pegasystem PEGA Platform被披露存在访问控制错误漏洞。攻击者可通过=GetWebInfo利用漏洞获取敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国互联网金融协会、新华网、21世纪经济报道、中国工商银行电子银行、中国光大银行、杭州银行、哈尔滨银行、安徽农金电子银行报道

责任编辑：韩希宇