国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞420个，互联网上出现“WordPress Modern Events Calendar远程代码执行漏洞、ToaruOS权限提升漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

数据治理与网络安全齐头并进：乌镇大会背后的互联网行业嬗变

相较于以往对于前沿技术的推陈出新，今年的互联网大会更加聚焦于数据治理与网络安全。在各类新兴技术和场景里，安全和文明成为基础色。>>详细

提高网络安全防范意识 加强个人金融信息保护 上海银行主办网络安全日宣传活动

活动现场通过以案说险、知识竞答互动、摆放展板、发放宣传手册以及播放宣传视频等多种形式开展网络安全宣传。>>详细

金融科技产品认证目录即将上新，请签收区块链产品检测buff！

2021年9月，招商银行区块链产品“招商银行一链通”获得了中国金融认证中心（CFCA）区块链产品检测报告，招商银行成为第一家区块链产品完成CFCA检测的银行！>>详细

【高发！！】请警惕“刷单返利“类电信诈骗

不法分子往往会瞄准学生、上班族及全职妈妈群体，利用他们想要轻松又想要赚快钱的心理，诱惑他们主动联系不法分子，从而实施以刷单返利为由的诈骗！>>详细

以案说险·教您防范电信网络诈骗之谨防“网络刷单”骗局

青少年消费者要警惕不明链接，养成良好的消费习惯，增强风险防范意识，如遇诈骗事件，及时向家人、老师或公安机关等寻求帮助，保护好自身的合法权益。>>详细

CFCA鉴印平台：打通内外多方签署壁垒 直击电子签约合规痛点

鉴印平台作为一个本地部署的综合签约服务平台，打通内外多方签署壁垒，实现数字证书、签署文件自主可控，部署一次即可实现未来海量签署，是助力企事业单位合规安全、降本增效的首选。>>详细

我们在行动 | 电信网络诈骗如何防范篇

不向他人随意透露银行卡号、账户密码、有效期、安全码、身份证号、短信验证码等重要信息。>>详细

普及|信用卡防盗刷小妙招~

持卡人未及时采取挂失措施防止损失扩大，发卡行主张持卡人自行承担扩大损失责任的，人民法院应予支持。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年9月20日-26日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞420个，其中高危漏洞128个、中危漏洞253个、低危漏洞39个。漏洞平均分值为5.79。上周收录的漏洞中，涉及0day漏洞314个（占75%），其中互联网上出现“WordPress Modern Events Calendar远程代码执行漏洞、ToaruOS权限提升漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，在系统上执行任意代码或造成拒绝服务。

CNVD收录的相关漏洞包括：Google Chrome libjpeg-turbo信息泄露漏洞、Google Chrome Background Fetch API安全绕过漏洞、Google Chrome Blink graphics安全绕过漏洞、Google Chrome Tab Strip代码执行漏洞、Google Chrome Performance Manager代码执行漏洞、Google Chrome Offline代码执行漏洞、Google Chrome WebGPU代码执行漏洞、Google Chrome Navigation安全绕过漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe FrameMaker是一款文档处理程序，用于编写和编辑包括结构化文档在内的大型或复杂文档。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件系统，执行任意代码。

CNVD收录的相关漏洞包括：Adobe Framemaker越界写入漏洞（CNVD-2021-73434）、Adobe Framemaker内存越界访问漏洞（CNVD-2021-73437、CNVD-2021-73436）、Adobe Framemaker越界写入漏洞（CNVD-2021-73435）、Adobe Framemaker释放后重用漏洞、Adobe Framemaker越界读取漏洞（CNVD-2021-73440、CNVD-2021-73439、CNVD-2021-73438）。其中，“Adobe Framemaker越界写入漏洞（CNVD-2021-73434）、Adobe Framemaker内存越界访问漏洞（CNVD-2021-73437、CNVD-2021-73436）、Adobe Framemaker越界写入漏洞（CNVD-2021-73435）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞以提升的权限运行任意代码，从而可安装程序，查看、更改或删除数据，或创建具有完全用户权限的新帐户。

CNVD收录的相关漏洞包括：Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-73129、CNVD-2021-73128、CNVD-2021-73127、CNVD-2021-73132、CNVD-2021-73131、CNVD-2021-73130、CNVD-2021-73134、CNVD-2021-73133）。其中，“Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-73130、CNVD-2021-73134、CNVD-2021-73133）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tuxera产品安全漏洞

Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞导致缓冲区溢出，从而允许执行代码和提升权限等。

CNVD收录的相关漏洞包括：Tuxera NTFS-3G缓冲区溢出漏洞（CNVD-2021-72267、CNVD-2021-72266、CNVD-2021-72269、CNVD-2021-72268、CNVD-2021-72271、CNVD-2021-72272、CNVD-2021-72273、CNVD-2021-72275）。目前，厂商已经发布了上述漏洞的修补程序。

Totolink A720R堆栈溢出漏洞

Totolink A720R是中国台湾吉翁电子（Totolink）公司的一款无线路由器。上周，Totolink A720R被披露存在堆栈溢出漏洞。该漏洞源于软件中的checkLoginUser函数对数据的错误处理，攻击者可利用该漏洞造成拒绝服务（DOS）。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，在系统上执行任意代码或造成拒绝服务。此外，Adobe、Microsoft、Tuxera等多款产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件系统，导致缓冲区溢出，执行任意代码，提升权限等。另外，Totolink A720R被披露存在堆栈溢出漏洞。攻击者可利用该漏洞造成拒绝服务（DOS）。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国邮政储蓄银行、中国民生银行、平安银行、上银微动态、广东农信报道

责任编辑：韩希宇