國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞288個，互聯網上出現“drachtio-server存在信息泄露漏洞、Hospital Management Center SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

以案說險：傭金太誘人 其實是陷阱

請你妥善保管好本人身份證件、銀行卡、密碼、UK等支付工具，避免被他人盜取用于電信網絡詐騙犯罪。銀行卡、密碼丟失要立即聯系開戶銀行辦理掛失。>>詳細

遼寧銀保監局：警惕消費者陷入違規轉貸多重風險之中

違規轉貸包括經營貸風險、信用貸風險、財務風險、個人信息泄露風險四種風險。>>詳細

普及金融小常識之 | 您的個人信息可能是這樣泄露的

在下載APP或登錄網站時，務必謹慎填寫個人信息，尤其是個人金融信息。>>詳細

【小兜理財課堂】守住養老錢，謹防養老騙局

以“養老”為名的騙局層出不窮，騙子往往以“投資養老”、“以房養老”等為幌子，騙取老年朋友們的錢財。小兜提醒廣大老年朋友做到三個“不要”：一、不要輕易相信；二、不要輕易跟風；三、不要輕易支付。>>詳細

【消保黔行】遠離套路貸，萬萬碰不得！

高利貸只追求高額利息，而“套路貸”對于債務人的利息壓榨遠高于高利貸，實在是讓人深惡痛絕。>>詳細

ChatGPT火“爆”了！防范AI安全風險，誰來出手？

CFCA立足于金融行業，建立了涵蓋安全性、可解釋性、精準性和性能等方面的人工智能算法檢測體系，可提供符合《人工智能算法金融應用評價規范》(JR/T 0221-2021）要求的人工智能算法金融應用評估服務。>>詳細

存量房貸高企，“轉貸”套路再現，小心“賠了夫人又折兵”

如果貸款客戶虛構貸款用途，或者在中介的幫助下提供了虛假的貸款材料，涉嫌騙取貸款構成刑事犯罪。>>詳細

迅速反應，及時止損！杭州銀行成功攔截多起詐騙案件發生

近期杭州銀行攔截的多起詐騙事件，都是真實案例，別再上當啦！>>詳細

請謹慎接聽可疑號段電話

請注意“19X”開頭的來電，并不一定都是詐騙電話，但對陌生電話請一定多加防備。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年2月6日-2月12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞288個，其中高危漏洞126個、中危漏洞140個、低危漏洞22個。漏洞平均分值為6.27。上周收錄的漏洞中，涉及0day漏洞182個（占63%），其中互聯網上出現“drachtio-server存在信息泄露漏洞、Hospital Management Center SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上執行任意代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-07603、CNVD-2023-07604、CNVD-2023-07644、CNVD-2023-07646、CNVD-2023-07647）、Google Android拒絕服務漏洞（CNVD-2023-07613）、Google Android代碼執行漏洞（CNVD-2023-07645）、Google Chrome Accessibility代碼執行漏洞。其中，除“Google Android拒絕服務漏洞（CNVD-2023-07613）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發起跨站腳本攻擊，繞過實施的安全限制，在目標系統上執行任意代碼，導致程序崩潰等。

CNVD收錄的相關漏洞包括：Mozilla Firefox緩沖區溢出漏洞（CNVD-2023-06858、CNVD-2023-06860、CNVD-2023-06865、CNVD-2023-06864）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-06859）、Mozilla Firefox輸入驗證錯誤漏洞（CNVD-2023-06861）、Mozilla Firefox跨站腳本漏洞（CNVD-2023-06863）、Mozilla Firefox安全特征問題漏洞（CNVD-2023-06862）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中任意執行代碼，繞過ASLR等緩解措施，導致敏感內存泄露。

CNVD收錄的相關漏洞包括：Adobe Illustrator越界讀取漏洞（CNVD-2023-07320、CNVD-2023-07318、CNVD-2023-07317、CNVD-2023-07323、CNVD-2023-07322）、Adobe Illustrator輸入驗證錯誤漏洞（CNVD-2023-07319、CNVD-2023-07321）、Adobe Illustrator資源管理錯誤漏洞（CNVD-2023-07324）。其中“Adobe Illustrator輸入驗證錯誤漏洞（CNVD-2023-07319、CNVD-2023-07321）、Adobe Illustrator資源管理錯誤漏洞（CNVD-2023-07324）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。Foxit Reader是中國福昕（Foxit）公司的一款PDF文檔閱讀器。Foxit PDF Editor是一款PDF編輯器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Foxit PDF Reader內存錯誤引用漏洞（CNVD-2023-07826、CNVD-2023-07827、CNVD-2023-07828）、Foxit Reader代碼問題漏洞（CNVD-2023-07829）、Foxit PDF Reader和PDF Editor代碼問題漏洞、Foxit PDF Reader deletePages遠程代碼執行漏洞、Foxit PDF Reader Doc對象遠程代碼執行漏洞、Foxit PDF Reader Annotation遠程代碼執行漏洞（CNVD-2023-07867）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda AC23堆棧溢出漏洞

Tenda AC23是中國騰達（Tenda）公司的一款雙頻千兆無線路由器。上周，Tenda AC23被披露存在堆棧溢出漏洞，攻擊者可利用該漏洞執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上執行任意代碼，造成拒絕服務。此外，Mozilla、Adobe、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞發起跨站腳本攻擊，繞過實施的安全限制，在目標系統上執行任意代碼，導致拒絕服務等。另外，Tenda AC23被披露存在堆棧溢出漏洞。攻擊者可利用該漏洞執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經、中國證券報·中證網、中國郵政儲蓄銀行、杭州銀行微訊、貴州銀行、湖北銀行、華潤銀行、柳州銀行報道

責任編輯：韓希宇