國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞614個，互聯網上出現“Advantech iView SQL注入漏洞、Egavilan Media Resumes Management and Job Application Website SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【反詐】年底防詐不放松，提高警惕記心中

小智提醒您：天上不會掉餡餅，任何要求墊資的網絡刷單都是詐騙。對“刷單”“刷信譽”“刷信用”等網絡兼職廣告要提高警惕，做到“不輕信！不貪利！不墊資！”。>>詳細

【消保小講堂】老年人銀行自助設備使用攻略

銀行網點智能化水平越來越高，以往我們需要在窗口排隊辦理的業務現在都可以通過智能自助設備辦理，老年朋友們可能對智能設備比較陌生，本期就帶老年朋友們了解如何使用銀行自助設備。>>詳細

2022金融科技錦繡論壇舉辦 CFCA獲得銀聯云兩項生態合作伙伴授牌

中國銀聯向銀聯云金融科技生態合作伙伴授牌。CFCA成為銀聯云“云安全認證及檢測服務”及“信息技術創新應用服務”生態合作伙伴。>>詳細

“新市民”安全用卡牢記心間 時刻緊繃防范之弦

工資卡、∪盾、手機銀行……多種金融支付工具作為我們工作和生活中重要的小幫手，安全使用有著大學問。>>詳細

普及|今天出借銀行卡，明天警察上門查！

切勿出租出借出售本人實名銀行卡，不要因貪小利而犯大錯。>>詳細

【以案說險】網絡購物需謹慎，防范詐騙要當心！

當消費者遇到“退貨退款”或“ 返還部分貨款”時，不要貪圖小利，輕信所謂“返利”等幌子，更不要輕易點擊可疑鏈接、掃描可疑二維碼、下載可疑APP。>>詳細

寧夏銀行緊急止付賬戶 保護客戶資金安全

近日，寧夏銀行高爾夫支行成功堵截一起針對老年客戶的電信網絡詐騙案件，并對客戶賬戶采取緊急止付措施，切實保護老年客戶資金安全。>>詳細

辦一份資產證明需要多久？可信電子章加持，坐等可取、安全高效！

CFCA無紙化電子印章系統所使用的機構證書（企業證書）以及場景證書均從權威的第三方CA（CFCA）簽發，具有法律效力，證書以及生成的電子簽名均符合《電子簽名法》的要求。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年12月19日-25日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞614個，其中高危漏洞283個、中危漏洞290個、低危漏洞41個。漏洞平均分值為6.46。上周收錄的漏洞中，涉及0day漏洞463個（占75%），其中互聯網上出現“Advantech iView SQL注入漏洞、Egavilan Media Resumes Management and Job Application Website SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft SharePoint是美國微軟（Microsoft）公司的一套企業業務協作平臺。該平臺用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Microsoft Office是美國微軟（Microsoft）公司的一款辦公軟件套件產品。該產品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Graphics Component是美國微軟（Microsoft）公司的圖形驅動組件。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞在目標主機上執行代碼。

CNVD收錄的相關漏洞包括：Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2022-89421）、Microsoft Office Visio遠程代碼執行漏洞（CNVD-2022-89422、CNVD-2022-89424）、Microsoft Office Graphics遠程代碼執行漏洞（CNVD-2022-89423、CNVD-2022-89425、CNVD-2022-89427、CNVD-2022-89426、CNVD-2022-89428）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞通過多種協議訪問網絡，從而破壞MySQL Server，并導致MySQL Server掛起或頻繁重復崩潰（完全DOS）。

CNVD收錄的相關漏洞包括：Oracle MySQL Server拒絕服務漏洞（CNVD-2022-89431、CNVD-2022-89430、CNVD-2022-89433、CNVD-2022-89432、CNVD-2022-89435、CNVD-2022-89434、CNVD-2022-89436、CNVD-2022-89437）。目前，廠商已經發布了上述漏洞的修補程序。

SIEMENS產品安全漏洞

Siemens Teamcenter Visualization是一個可為設計2D、3D場景提供團隊協作功能的軟件。Siemens JT2GO是一款JT文件查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用使應用程序崩潰，從而導致拒絕服務條件，在當前進程的上下文中執行代碼等。

CNVD收錄的相關漏洞包括：Siemens Teamcenter Visualization和JT2Go內存錯誤引用漏洞、Siemens Teamcenter Visualization和JT2Go越界讀取漏洞（CNVD-2022-88422、CNVD-2022-88424、CNVD-2022-88426、CNVD-2022-88427、CNVD-2022-89530）、Siemens Teamcenter Visualization和JT2Go文件分析漏洞（CNVD-2022-89513）、Siemens Teamcenter Visualization和JT2Go越界寫入漏洞。其中，除“Siemens Teamcenter Visualization和JT2Go文件分析漏洞（CNVD-2022-89513）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Threat Defense（FTD）和Cisco Adaptive Security Appliances Software（ASA Software）都是美國思科（Cisco）公司的產品。Cisco Firepower Threat Defense是一套提供下一代防火墻服務的統一軟件。Cisco Adaptive Security Appliances Software是一套防火墻和網絡安全平臺。該平臺提供了對數據和網絡資源的高度安全的訪問等功能。Cisco RoomOS Software和Cisco TelePresence Collaboration Endpoint Software都是美國思科（Cisco）公司的產品。Cisco RoomOS Software是一套用于Cisco設備的自動管理軟件。該軟件主要用于升級、管理Cisco設備的主板固件。Cisco TelePresence Collaboration Endpoint Software是一套協作終端軟件。Cisco Small Business RV Series Routers是美國思科（Cisco）公司的一款RV系列路由器。Cisco SD-WAN vManage Software是美國思科（Cisco）公司的一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。Cisco Enterprise NFV Infrastructure Software是美國思科（Cisco）公司的一套NVF基礎架構軟件平臺。該平臺可以通過中央協調器和控制器實現虛擬化服務的全生命周期管理。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞造成高CPU利用率，從而導致拒絕服務，在受影響的設備上執行任意代碼等。

CNVD收錄的相關漏洞包括：Cisco Firepower Threat Defense和Cisco Adaptive Security Appliances Software拒絕服務漏洞、Cisco TelePresence Collaboration Endpoint and RoomOS Software拒絕服務和信息泄露漏洞、Cisco Small Business RV Series Routers遠程代碼執行漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2022-89247）、Cisco Enterprise NFV Infrastructure Software命令注入漏洞（CNVD-2022-89248）、Cisco Enterprise NFV Infrastructure Software權限許可和訪問控制問題漏洞（CNVD-2022-89249）、Cisco Small Business RV Series Routers命令注入漏洞（CNVD-2022-89251）、Cisco Enterprise NFV Infrastructure Software XML外部實體注入漏洞。其中，除“Cisco Firepower Threat Defense和Cisco Adaptive Security Appliances Software拒絕服務漏洞、Cisco TelePresence Collaboration Endpoint and RoomOS Software拒絕服務和信息泄露漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2022-89247）、Cisco Enterprise NFV Infrastructure Software XML外部實體注入漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Aruba Networks ArubaOS和InstantOS緩沖區溢出漏洞

ArubaOS是Aruba Mobility Controllers、Mobility Master和控制器管理的接入點（APs）的網絡操作系統。InstantOS是一個基于Arch Linux的發行版。上周，Aruba Networks ArubaOS和InstantOS被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞在系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞在目標主機上執行代碼。此外，Oracle、SIEMENS、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過多種協議訪問網絡，從而破壞MySQL Server，并導致MySQL Server掛起或頻繁重復崩潰（完全DOS），在受影響的設備上執行任意代碼等。另外，Aruba Networks ArubaOS和InstantOS被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞在系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、光大遠程微訊、桂林銀行金融服務、營口銀行、邯鄲銀行、寧夏銀行、廣東農信報道

責任編輯：韓希宇