國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞622個，互聯網上出現“Tenda AX180堆棧溢出漏洞、Delight Nashorn Sandbox拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【消保小講堂】謹防疫情防控期間詐騙“新套路”

請不要輕易點擊不明鏈接和掃描一切可疑二維碼，謹防進入釣魚網站，泄露個人信息。>>詳細

【安全課堂】網絡詐騙套路多，虛擬幣投資要遠離！

高額回報不可信，網絡投資要當心，陌生APP勿下載，虛擬幣交易觸紅線，金融詐騙套路多，不貪便宜不上當，理財要按規矩來，爭做守法好公民。>>詳細

消保小課堂丨防范租借信用卡的風險

持卡人在使用信用卡時應根據個人及家庭財務狀況科學、理性消費。要堅持“量入為出”，防止“寅吃卯糧”、過度消費，更要防止因大額負債陷入“以貸還貸”“以卡養卡” 的境況。>>詳細

如何安全使用手機銀行

在使用交易類、銀行卡類應用進行支付或者轉賬的過程中保證手機在本人身邊。>>詳細

【以案說險】餡餅變陷阱，這種詐騙重現江湖！

走在路上，有人突然掉下"錢包"，這時有個陌生人過來說，見者有份，一起分錢，別以為這是天下掉“餡餅”，這其實是丟包詐騙的慣用伎倆。>>詳細

金教基地 | 安全理財金融常識

遇到非法集資要做到，四看三思等一夜。三思：一思自己是否了解該產品及市場行情；二思產品是否符合市場規律；三思自身需求，避免被高利誘惑。>>詳細

一圖讀懂《反電信網絡詐騙法》

2022年9月2日，十三屆全國人大常委會第三十六次會議表決通過《中華人民共和國反電信網絡詐騙法》。自2022年12月1日起施行。>>詳細

【防范】企業反詐實鑒小課堂

近年來金融詐騙屢見不鮮，騙子詭計多端花樣百出。聽過很多道理，依然有人躲不過電信詐騙。為保證您的賬戶資金更安全，請了解電信詐騙常見套路。不要有僥幸心理，務必提高警惕。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年11月14日-20日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞622個，其中高危漏洞228個、中危漏洞323個、低危漏洞71個。漏洞平均分值為6.10。上周收錄的漏洞中，涉及0day漏洞411個（占66%），其中互聯網上出現“Tenda AX180堆棧溢出漏洞、Delight Nashorn Sandbox拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft HEIF Image Extensions是美國微軟（Microsoft）公司的微軟Windows系統得一個功能庫。Microsoft Office是美國微軟（Microsoft）公司的一款辦公軟件套件產品。該產品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Paint 3D是一款電腦畫圖軟件，該軟件在原有基礎上做出了優化調整，并且加入了全新的、全面的畫圖工具，能夠將平面的2D圖像逐漸演變成3D圖像。Microsoft Windows ALPC是美國微軟（Microsoft）公司發展出來替代LPC，用于本機RPC的一種C/S模型技術。Microsoft Windows是美國微軟（Microsoft）公司的一個光盤驅動器。Microsoft Windows Cloud Files Mini Filter Driver是美國微軟（Microsoft）公司的一款云文件過濾器驅動程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft HEIF Image Extensions遠程代碼執行漏洞、Microsoft Office Visio遠程代碼執行漏洞（CNVD-2022-77995、CNVD-2022-77996）、Microsoft Paint 3D遠程代碼執行漏洞、Microsoft Windows ALPC權限提升漏洞（CNVD-2022-78027、CNVD-2022-78053）、MIcrosoft Windows CD-ROM Driver權限提升漏洞、Microsoft Windows Cloud Files Mini Filter Driver權限提升漏洞。其中，“MIcrosoft Windows CD-ROM Driver權限提升漏洞” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5 BIG-IP APM Edge Client for Windows是F5公司的一款客戶端訪問控制認證接入客戶端應用程序。F5 BIG-IP是F5公司的一款集成了網絡流量編排、負載均衡、智能DNS，遠程接入策略管理等功能的應用交付平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲得權限升級，在當前登錄用戶的上下文中執行JavaScript，導致拒絕服務。

CNVD收錄的相關漏洞包括：F5 BIG-IP代碼問題漏洞（CNVD-2022-77521、CNVD-2022-77525）、F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2022-77524）、F5 BIG-IP資源管理錯誤漏洞（CNVD-2022-77522、CNVD-2022-77526、CNVD-2022-77530）、F5 BIG-IP APM跨站腳本漏洞（CNVD-2022-77527）、F5 BIG-IP跨站腳本漏洞（CNVD-2022-77529）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe InCopy是美國Adobe公司的一款用于創作的文本編輯軟件。Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Adobe InDesign代碼執行漏洞（CNVD-2022-76624、CNVD-2022-76625）、Adobe InCopy內存錯誤引用漏洞、Adobe InCopy越界寫入漏洞（CNVD-2022-76627）、Adobe Illustrator代碼執行漏洞、Adobe Illustrator越界讀取漏洞（CNVD-2022-76631、CNVD-2022-76632、CNVD-2022-76633）。其中，除“Adobe Illustrator越界讀取漏洞（CNVD-2022-76631）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM InfoSphere Information Server是美國IBM公司的一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。IBM Business Automation Workflow是美國IBM公司的一套工作流程自動化解決方案。該產品主要用于工作流程管理、合規性管理，并具有工作流程可見性和可擴展等特點。IBM Robotic Process Automation是美國國際商業機器（IBM）公司的一種機器人流程自動化產品?？蓭椭詡鹘yRPA的輕松和速度大規模自動化更多業務和IT流程。IBM Rational Change是美國IBM公司的一種軟件工具。為與軟件開發相關的所有工件提供了軟件配置管理功能，包括源代碼，文檔和圖像以及最終構建的軟件可執行文件和庫。IBM Maximo Asset Management是美國國際商業機器（IBM）公司的一套綜合性資產生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產，如設施、交通運輸等，并對這些資產實現單點控制。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，在受害者當前使用的環境中執行腳本，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM InfoSphere Information Server拒絕服務漏洞、IBM Business Automation Workflow信息泄露漏洞、IBM InfoSphere Information Server CSV注入漏洞、IBM InfoSphere Information Server跨站請求偽造漏洞、IBM Robotic Process Automation授權問題漏洞（CNVD-2022-77512）、IBM Rational Change跨站腳本漏洞（CNVD-2022-77517）、IBM InfoSphere Information Server XML外部實體注入（XXE）漏洞、IBM Maximo Asset Management身份驗證錯誤漏洞。其中，除“IBM InfoSphere Information Server拒絕服務漏洞、IBM Business Automation Workflow信息泄露漏洞、IBM Rational Change跨站腳本漏洞（CNVD-2022-77517）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TYPO3 Matomo Integration組件跨站腳本漏洞

TYPO3是瑞士TYPO3協會的一套免費開源的內容管理系統（框架）（CMS/CMF）。Matomo是Matomo團隊的一套網站統計分析平臺。該平臺包括訪客統計、Web分析、圖表生成和SEO優化等功能。上周，TYPO3 Matomo Integration組件被披露存在跨站腳本漏洞。該漏洞源于Matomo Integration組件缺少對用戶提供的數據和輸出的數據校驗過濾。攻擊者可利用該漏洞在網站中注入JavaScript代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上執行任意代碼。此外，F5 、Apache、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，在系統上執行任意代碼，或導致應用程序崩潰等。另外，TYPO3 Matomo Integration組件被披露存在跨站腳本漏洞。攻擊者可利用漏洞在網站中注入JavaScript代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、交通銀行公司金融、北京銀行微銀行、蒙商銀行、貴州銀行、晉商銀行、桂林銀行金融服務、重慶農村商業銀行報道

責任編輯：韓希宇