國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞351個，互聯網上出現“MonikaBrzica scm SQL注入漏洞、Open5GS拒絕服務漏洞（CNVD-2023-08774）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

人民銀行召開2023年金融消費權益保護工作會議

做好金融消費權益保護各項工作，要深刻理解金融消費權益保護工作在中國式現代化新征程中的角色和定位。>>詳細

中國銀聯發布2022年移動支付安全大調查研究報告

此次大調查活動是中國銀聯踐行“支付為民”理念的具體舉措之一，也是連續第十六年跟蹤消費者移動支付使用情況。>>詳細

2022年“金融密碼杯”全國密碼應用和技術創新大賽頒獎活動在蘇州舉行

大賽由人民銀行數字貨幣研究所和清華大學密碼理論與技術研究中心聯合主辦，中國密碼學會、蘇州市人民政府支持，蘇州市相城區人民政府承辦，分“挑戰賽”和“創新賽”兩條賽道。>>詳細

中國銀行山西省分行：筑牢金融反詐“防火墻”

中國銀行山西省分行持續加大技防投入，形成“技防＋人防＋制度防”的立體防范體系，努力實現風險早識別、早發現、早處置，切實維護好人民群眾的合法權益。>>詳細

【消?！刻岣甙踩婪兑庾R保護個人金融信息

重要卡片勿轉借，財產信息要保密，憑條單據慎處理，金融業務忌委托。>>詳細

省錢省力也省心，靠譜的電子勞動合同這樣簽！

平臺由昆山農商銀行提供金融級安全驗證，由CFCA提供電子認證、無紙化電子簽章等技術支持，助力企業解決在人力資源管理中面臨的傳統紙質合同簽署成本高、風險高、效率低等問題。>>詳細

反詐|警惕網絡校園貸詐騙，莫負青春債！

大學生應當主動學習有關金融方面的消費知識，提高對各種形式“校園貸”陷阱的辨別能力和自我保護能力，對借貸機構廣告宣傳中的“免費”“優惠”“打折”等內容要多留個心眼，增強防范意識。>>詳細

【以案說險】養老理財要了解，盲目投資有風險

很多非法集資會打著養老理財產品的幌子進行非法集資等違法行為，因此老年人要遠離“高利息、高回報、高分紅”的養老產品和養老機構的宣傳，不要盲目聽信業務推銷人員的推銷言辭。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年2月13日-19日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞351個，其中高危漏洞144個、中危漏洞174個、低危漏洞33個。漏洞平均分值為6.15。上周收錄的漏洞中，涉及0day漏洞240個（占68%），其中互聯網上出現“MonikaBrzica scm SQL注入漏洞、Open5GS拒絕服務漏洞（CNVD-2023-08774）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe ColdFusion是美國奧多比（Adobe）公司的一套快速應用程序開發平臺。該平臺包括集成開發環境和腳本語言。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，應用程序拒絕服務，在當前用戶的上下文中任意執行代碼等。

CNVD收錄的相關漏洞包括：Adobe ColdFusion緩沖區溢出漏洞、Adobe ColdFusion路徑遍歷漏洞（CNVD-2023-08751、CNVD-2023-08754）、Adobe ColdFusion信任管理問題漏洞、Adobe ColdFusion信息泄露漏洞、Adobe ColdFusion輸入驗證錯誤漏洞、Adobe ColdFusion XML外部實體注入漏洞（CNVD-2023-08756、CNVD-2023-08757）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

DELL產品安全漏洞

Dell BIOS是美國戴爾（Dell）公司的一個計算機主板上小型內存芯片上的嵌入式軟件。Dell Container Storage Modules是一組模塊。旨在提供超出容器存儲可用功能的附加功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過操縱SMI導致SMM期間的任意寫入，使用SMI獲取SMRAM中的任意代碼執行等 。

CNVD收錄的相關漏洞包括：Dell BIOS緩沖區溢出漏洞（CNVD-2023-08761、CNVD-2023-08760、CNVD-2023-08766）、Dell BIOS輸入驗證錯誤漏洞（CNVD-2023-08764、CNVD-2023-08763、CNVD-2023-08762、CNVD-2023-08765）、Dell Container Storage Modules操作系統命令注入漏洞（CNVD-2023-08770）。其中，除“Dell BIOS輸入驗證錯誤漏洞（CNVD-2023-08763）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，在系統上執行任意代碼或導致拒絕服務等。

CNVD收錄的相關漏洞包括：Google Chrome Live Caption代碼執行漏洞、Google Chrome Sign-In代碼執行漏洞、Google Chrome安全繞過漏洞（CNVD-2023-08259、CNVD-2023-08260、CNVD-2023-08261、CNVD-2023-08277、CNVD-2023-08278、CNVD-2023-08256）。其中，除“Google Chrome安全繞過漏洞（CNVD-2023-08259、CNVD-2023-08261、CNVD-2023-08277、CNVD-2023-08278）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle WebLogic Server是美國甲骨文（Oracle）公司的一款適用于云環境和傳統環境的應用服務中間件，它提供了一個現代輕型開發平臺，支持應用從開發到生產的整個生命周期管理，并簡化了應用的部署和管理。Oracle E-Business Suite（電子商務套件）是一套全面集成式的全球業務管理軟件。該軟件提供了客戶關系管理、服務管理、財務管理等功能。Oracle Solaris是一套UNIX操作系統。Oracle MySQL是一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞對關鍵數據的未授權訪問或對所有Oracle WebLogic Server可訪問數據的完全訪問，通過多種協議訪問網絡，從而破壞MySQL Server，并導致MySQL Server掛起或頻繁重復崩潰（完全DOS）等。

CNVD收錄的相關漏洞包括：Oracle WebLogic Server信息泄露漏洞（CNVD-2023-08438、CNVD-2023-08437、CNVD-2023-08436）、Oracle E-Business Suite信息泄露漏洞（CNVD-2023-08435）、Oracle Solaris拒絕服務漏洞（CNVD-2023-08441、CNVD-2023-08440）、Oracle MySQL Server拒絕服務漏洞（CNVD-2023-08439）、Oracle MySQL Server Options組件拒絕服務漏洞。其中“Oracle WebLogic Server信息泄露漏洞（CNVD-2023-08438、CNVD-2023-08437、CNVD-2023-08436）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM MQ輸入驗證錯誤漏洞（CNVD-2023-08771）

IBM MQ（IBM WebSphere MQ）是美國國際商業機器（IBM）公司的一款消息傳遞中間件產品。該產品主要為面向服務的體系結構（SOA）提供可靠的、經過驗證的消息傳遞主干網。上周，IBM MQ被披露存在輸入驗證錯誤漏洞。攻擊者可利用該漏洞拒絕MQTT通道的服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，應用程序拒絕服務，在當前用戶的上下文中任意執行代碼等。此外，Dell、Google、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，在系統上執行任意代碼或導致拒絕服務，通過操縱SMI導致SMM期間的任意寫入，使用SMI獲取SMRAM中的任意代碼執行。另外，IBM MQ被披露存在輸入驗證錯誤漏洞。攻擊者可利用該漏洞拒絕MQTT通道的服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、中國銀聯、中國銀行山西省分行、中信銀行、河北銀行、廣東農信報道

責任編輯：韓希宇