國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞347個，互聯網上出現“Tenda M3 formSetStoreWeb函數緩沖區溢出漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

普及金融小常識 | 謹防電信詐騙

詐騙分子可能通過黑客攻擊等不法手段獲取了公民信息，并先以請市民自行前往本地公安機關簽收調查嚴重犯罪的公函為由，步步引誘市民上當，最后會請市民匯款給“公安機關安全賬戶”。>>詳細

農商財課堂 | 養老詐騙“套路深” 快@爸媽一起來識別！

活到老，學到老，老年人應了解當前多發的詐騙案件，提高對詐騙伎倆的識別能力。>>詳細

【小河講反洗錢】揭秘冒充客服詐騙套路

電商購物平臺400開頭的客服不會主動外呼，外呼客服號碼為固定短號。如接到自稱各類電商或金融平臺客服，一定不要輕信、更不要隨意轉款，直接撥打平臺官方客服核實。>>詳細

普及|換“芯”不換號，讓您更安心~

不要登錄陌生網站，不要下載、使用來歷不明的軟件；不輕信“中獎”“返利”“免費”等字樣的信息或廣告。>>詳細

工業互聯網信息安全保障如何覆蓋全體系、貫穿全流程？

CFCA具備工業互聯網的相關系統安全檢測的能力，其中包括滲透測試、代碼審計等全方位信息安全服務，保障系統及應用安全合規。>>詳細

【消保小劇場】差點“一夜暴負”

不向他人隨意透露銀行卡號、賬戶密碼、有效期、安全碼、身份證號、短信驗證碼等重要信息。>>詳細

個人征信查詢如何更快捷、更安全？電子征信授權解決方案一站搞定！

CFCA整合金融、政務、公安、移動運營商等行業的多元信息，結合多年專業金融信息安全服務經驗，提供統一身份認證服務、反欺詐服務和信用評價服務等多元數據產品及一體化解決方案。>>詳細

【反詐】談了一場“驚心動魄”的戀愛，結局卻......千萬別讓“七夕節”變“七夕劫”

“天上不會掉餡餅”，所謂“低成本、高回報”往往都是騙人的幌子，一定不要貪圖利益，賺錢還是要腳踏實地。>>詳細

消保小衛士｜警惕非法“代理維權”，理性維護合法權益

消保小衛士提醒您：警惕非法“代理維權”侵害，正規渠道維護自身合法權益！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年7月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞347個，其中高危漏洞130個、中危漏洞180個、低危漏洞37個。漏洞平均分值為6.16。上周收錄的漏洞中，涉及0day漏洞280個（占81%），其中互聯網上出現“Tenda M3 formSetStoreWeb函數緩沖區溢出漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Character Animator是美國奧多比（Adobe）公司的一款動作捕捉和動畫制作工具。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Media Encoder是美國奧多比（Adobe）公司的一款音、視頻編碼應用程序。Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致敏感內存泄露，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Character Animator越界寫入漏洞、Adobe Photoshop越界寫入漏洞（CNVD-2022-52087）、Adobe Media Encoder內存破壞漏洞（CNVD-2022-52098）、多款Adobe資源管理錯誤漏洞（CNVD-2022-52291）、多款Adobe產品緩沖區溢出漏洞（CNVD-2022-52922）、多款Adobe產品越界寫入漏洞（CNVD-2022-52921）、多款Adobe產品資源管理錯誤漏洞（CNVD-2022-52920）、多款Adobe產品越界讀取漏洞（CNVD-2022-52924）。其中，除“多款Adobe產品越界讀取漏洞（CNVD-2022-52924）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei MindSpore Community是中國華為（Huawei）公司的開源深度學習框架。HUAWEI EMUI是中國華為（HUAWEI）公司的一款基于Android開發的移動端操作系統。HUAWEI HarmonyOS是中國華為（HUAWEI）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。Honor Magic Ui是中國Honor公司的一款基于Android開發的移動端操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致設備崩潰等。

CNVD收錄的相關漏洞包括：Huawei MindSpore Community SparseToDense信息泄露漏洞、Huawei MindSpore Community Transpose信息泄露漏洞、HUAWEI EMUI信息泄露漏洞、HUAWEI HarmonyOS緩沖區溢出漏洞（CNVD-2022-52823）、HUAWEI HarmonyOS拒絕服務漏洞、HUAWEI HarmonyOS安全模塊授權問題漏洞、HUAWEI HarmonyOS SystemUI模塊權限管理漏洞、Huawei Emui和Honor Magic Ui緩沖區溢出漏洞（CNVD-2022-52826）。其中，“HUAWEI HarmonyOS拒絕服務漏洞、Huawei Emui和Honor Magic Ui緩沖區溢出漏洞（CNVD-2022-52826）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限升級。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-52264、CNVD-2022-52265、CNVD-2022-52268、CNVD-2022-52267、CNVD-2022-52271、CNVD-2022-52270）、Google Android緩沖區溢出漏洞（CNVD-2022-52274）、Google Android輸入驗證錯誤漏洞（CNVD-2022-52273）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle PeopleSoft Enterprise PRTL Interaction Hub是美國甲骨文（Oracle）公司的一個企業門戶交互中心組件。Oracle Fusion Middleware（Oracle融合中間件）是美國甲骨文（Oracle）公司的一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。Oracle Access Manager是美國甲骨文（Oracle）公司的提供創新的新服務來補充傳統的訪問管理功能。Oracle Database Server是美國甲骨文（Oracle）公司的一套關系數據庫管理系統。該數據庫管理系統提供數據管理、分布式處理等功能。Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞破壞或刪除數據，導致拒絕服務，執行任意代碼等。

CNVD收錄的相關漏洞包括：Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-52562）、Oracle PeopleSoft Enterprise PRTL Interaction Hub訪問控制錯誤漏洞、Oracle Fusion Middleware Helidon輸入驗證錯誤漏洞、Oracle Access Manager存在輸入驗證錯誤漏洞、Oracle Database Server輸入驗證錯誤漏洞（CNVD-2022-52564）、Oracle WebLogic Server輸入驗證錯誤漏洞（CNVD-2022-52566）、Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-53246、CNVD-2022-53249）。其中“Oracle WebLogic Server存在拒絕服務漏洞、Oracle WebLogic Server輸入驗證錯誤漏洞（CNVD-2022-52566）、Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-53246）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Juniper Networks Junos OS輸入驗證錯誤漏洞（CNVD-2022-53250）

Juniper Networks Junos OS是美國瞻博網絡（Juniper Networks）公司的一套專用于該公司的硬件設備的網絡操作系統。該操作系統提供了安全編程接口和Junos SDK。上周，Juniper Networks Junos OS被披露存在輸入驗證錯誤漏洞。攻擊者利用該漏洞通過MPLS IPv6 Packet引起Jonos OS的致命錯誤導致其拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞導致敏感內存泄露，在當前用戶的上下文中執行任意代碼等。此外，Huawei、Google、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致設備崩潰，執行任意代碼等。另外，Juniper Networks Junos OS被披露存在輸入驗證錯誤漏洞。攻擊者可利用漏洞通過MPLS IPv6 Packet引起Jonos OS的致命錯誤導致其拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、河北銀行、湖北銀行、桂林銀行金融服務、深圳農商銀行、貴陽銀行、廣東農信、成都農商銀行報道

責任編輯：韓希宇