國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞456個，互聯網上出現“Library Management System SQL注入漏洞（CNVD-2022-61297）、Advanced School Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

銀保監會發布風險提示 提醒消費者警惕三大銷售誤導行為

三大誤導行為的表現包括：隱瞞、混淆產品信息誤導消費者；暗藏搭售誤導消費者；夸大保險責任或承諾保證收益誤導消費者。>>詳細

面對新型數字化詐騙，人工智能如何守護金融賬戶安全？

面對迭代迅速的新型數字化詐騙團隊，傳統風控策略已無法完全滿足，銀行必須采用新的數字化、智能化防控手段。>>詳細

中國銀聯參加第九屆國家網絡安全宣傳周 聯接創造價值 安全惠及民生

線下實體展覽期間，中國銀聯通過圖文展示、視頻展示、現場講解、互動體驗，向觀眾介紹銀聯在網絡安全綜合防控技術、金融級安全生態建設、支付安全創新與應用三個方面的研究成果。>>詳細

【反詐】電信詐騙早知道，練就錢包“金鐘罩”！

切勿相信通過網絡或電話途徑的辦案方式，政府機構不會主動索要個人銀行卡號、驗證碼等隱私信息，更不會要求直接匯款！>>詳細

你的終端，安全嗎？

我就是把防病毒軟件卸載了，不會有什么事兒吧？>>詳細

四招教你逮住“內鬼”APP

話費流量為何詭異消失？神秘扣款為何悄然出現？屏幕下，究竟藏著什么？>>詳細

【金教基地】牢記防詐三“不”原則：不聽不信不轉賬

在日常生活中增強個人信息安全意識，慎重對待合同簽署環節，不在空白合同簽字。不隨意提供身份證、銀行卡號、密碼、驗證碼等重要信息，以防被冒用、濫用或非法使用。>>詳細

守護物聯網系統安全，CFCA再添評估保障級認證（物聯網產品）檢測資質

為了對物聯網產品的安全性進行統一評價，CCRC根據IT產品通用評估準則制定了一系列物聯網產品安全技術要求。>>詳細

【金融知識進萬家】貴州銀行提醒您謹防詐騙

如何分辨金融產品的真偽是廣大金融消費者關注的問題，人民銀行金融消費權益保護局局長余文建給消費者支招“一看二問三查四不要”。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年8月29日-9月4日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞456個，其中高危漏洞155個、中危漏洞261個、低危漏洞40個。漏洞平均分值為6.15。上周收錄的漏洞中，涉及0day漏洞331個（占73%），其中互聯網上出現“Library Management System SQL注入漏洞（CNVD-2022-61297）、Advanced School Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Adobe產品安全漏洞

Adobe RoboHelp是美國奧多比（Adobe）公司的針對Windows開發和發布的幫助創作工具。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Bridge是Adobe公司推出的一款免費數字資產管理應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，使服務崩潰。

CNVD收錄的相關漏洞包括：Adobe RoboHelp跨站腳本漏洞（CNVD-2022-60077）、Adobe Photoshop資源管理錯誤漏洞（CNVD-2022-60078、CNVD-2022-60076）、Adobe Photoshop緩沖區溢出漏洞（CNVD-2022-60075）、Adobe Bridge越界讀取漏洞（CNVD-2022-60081）、Adobe Bridge內存損壞漏洞、Adobe Bridge緩沖區溢出漏洞（CNVD-2022-60083、CNVD-2022-60080）。其中，“Adobe Photoshop資源管理錯誤漏洞（CNVD-2022-60078、CNVD-2022-60076） ”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Spectrum Protect是美國IBM公司的一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Spectrum Protect（前稱Tivoli Storage Manager）是美國IBM公司的一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Spectrum Protect Plus是美國IBM公司的一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Spectrum Protect Plus和IBM Spectrum Copy Data Management都是美國IBM公司的產品。IBM Spectrum Protect Plus是一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Spectrum Copy Data Management是實現數據中心副本管理流程的現代化、簡化和自動化。IBM Spectrum Protect Operations Center是美國IBM公司的一個為IBM Spectrum Protect環境提供可視化控制的軟件。IBM Security Guardium Insights是美國IBM公司的一套數據安全解決方案。該產品支持數據分析、威脅警報、數據安全性審計和本地數據監控等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全性并獲取對易受攻擊服務器的未經授權的訪問，執行拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：IBM Spectrum Protect權限提升漏洞（CNVD-2022-60419）、IBM Spectrum Protect拒絕服務漏洞（CNVD-2022-60417）、IBM Spectrum Protect Server信息泄露漏洞（CNVD-2022-60413）、IBM Spectrum Protect Plus信息泄露漏洞（CNVD-2022-60418）、IBM Spectrum Protect Plus和IBM Spectrum Copy Data Management拒絕服務漏洞、IBM Spectrum Protect Plus Container Backup and Restore權限提升漏洞、IBM Spectrum Protect Operations Center信息泄露漏洞（CNVD-2022-60414）、IBM Security Guardium Insights信息泄露漏洞（CNVD-2022-60422）。其中，“IBM Spectrum Protect權限提升漏洞（CNVD-2022-60419） ”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Edge是一款Windows 10之后版本系統附帶的Web瀏覽器。Microsoft .NET Framework是美國微軟（Microsoft）公司的一種全面且一致的編程模型，也是一個用于構建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的應用程序的開發平臺。該平臺包括C＃和Visual Basic編程語言、公共語言運行庫和廣泛的類庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以更高的權限執行任意代碼，提升權限等。

CNVD收錄的相關漏洞包括：Microsoft Edge (Chromium-based) 權限提升漏洞（CNVD-2022-60122、CNVD-2022-60121、CNVD-2022-60120、CNVD-2022-60119、CNVD-2022-60118、CNVD-2022-60117、CNVD-2022-60131）、Microsoft .NET Framework拒絕服務漏洞（CNVD-2022-60136） 。其中，“Microsoft .NET Framework拒絕服務漏洞（CNVD-2022-60136）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

FFmpeg產品安全漏洞

FFmpeg是Ffmpeg團隊的一套可錄制、轉換以及流化音視頻的完整解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞觸發越界讀取內存訪問，并在系統上執行任意代碼，導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：FFmpeg shorten_decode_frame()函數拒絕服務漏洞、FFmpeg rpza_decode_stream()代碼執行漏洞、FFmpeg read_var_block_data()函數緩沖區溢出漏洞、FFmpeg msrle_decode_frame()函數拒絕服務漏洞、FFmpeg HEVC video decoder拒絕服務漏洞、FFmpeg ff_init_buffer_info()函數拒絕服務漏洞、FFmpeg decode_slice_header()函數拒絕服務漏洞（CNVD-2022-60138、CNVD-2022-60145）。目前，廠商已經發布了上述漏洞的修補程序。

WAVLINK AERIAL X 1200M命令注入漏洞

WAVLINK AERIAL X 1200M是中國WAVLINK公司的一款WiFi擴展器。上周，WAVLINK AERIAL X 1200M被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，使服務崩潰等。此外，IBM、Microsoft、FFmpeg等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全性并獲取對易受攻擊服務器的未經授權的訪問，執行拒絕服務攻擊，以更高的權限執行任意代碼，提升權限等。另外，WAVLINK AERIAL X 1200M被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經、每日經濟新聞、中國銀聯、浦發銀行、民生銀行手機銀行、晉商銀行、貴州銀行報道

責任編輯：韓希宇