國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞234個，互聯網上出現“SWFTools getGifDelayTime函數緩沖區溢出漏洞、Bento4 AP4_HdlrAtom::AP4_HdlrAtom函數拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融防騙小貼士丨如何識別非法金融廣告

隨著金融產品及服務種類日益豐富，金融廣告內容也變得五花八門，但一些不法分子卻利用各種渠道平臺投放非法金融廣告，誤導甚至誘騙金融消費者，從而導致金融消費者的人身權益、財產權益等受到損害。>>詳細

江蘇省聯社崔懷雷：數據運用標簽化、模糊化，保護客戶隱私

在崔懷雷看來，數據主要分為采集、傳輸、存儲和運用四個環節，“這四個環節都涉及數據安全一系列問題，包括《個保法》《征信管理辦法》以及數據‘二十條’等?！?gt;>詳細

【警惕】電信詐騙手段升級，消費者如何防范？

向您索要“兩碼”的都是騙子！所有索要銀行卡密碼、驗證碼的非官方鏈接，統統關閉。所有索要銀行卡密碼、驗證碼的客服電話，統統掛斷。>>詳細

證監會發布《證券期貨業網絡和信息安全管理辦法》

《辦法》全面覆蓋了包括證券期貨關鍵信息基礎設施運營者、核心機構、經營機構、信息技術系統服務機構等各類主體，以安全保障為基本原則，對網絡和信息安全管理提出規范要求。>>詳細

【以案說險】眼見不一定為實，警惕AI詐騙

青年人要及時做好家中老人的宣傳防范工作。提醒、告誡老年人在接到電話、收到短信時，只要是不認識、不熟悉的人和事，均不要理睬，以免被誘被騙。>>詳細

【知識】警惕！這類“貸款短信”是詐騙！

短信中如果含有不明鏈接地址，需要謹慎對待，有疑問應通過銀行官網或致電銀行客服熱線進行咨詢，避免被釣魚的風險。>>詳細

安全課堂 | ETC停用提醒多留意，小心掉入詐騙陷阱

不要輕易點擊不明短信內鏈接，不在陌生網址輸入身份證號、銀行卡號、驗證碼等個人信息。>>詳細

醫療數據頻泄露？別慌！這一招全部解決！

CFCA作為我國重要的信息安全基礎設施之一，深入了解醫療行業數據安全管理痛點難點，圍繞數據安全的重點管控環節，推出了針對全生命周期的數據安全治理咨詢解決方案。>>詳細

【以案說險】“代理退?！憋L險高，個人信息要守牢

根據自身需求選擇合適的金融產品或服務，勿受“退舊保新”“高收益”等說辭誘導，慎重考慮退保。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年2月27日-3月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞234個，其中高危漏洞154個、中危漏洞72個、低危漏洞8個。漏洞平均分值為6.93。上周收錄的漏洞中，涉及0day漏洞163個（占70%），其中互聯網上出現“SWFTools getGifDelayTime函數緩沖區溢出漏洞、Bento4 AP4_HdlrAtom::AP4_HdlrAtom函數拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Siemens產品安全漏洞

Siemens Tecnomatix Plant Simulation是面向對象的、圖形化的、集成的建模、仿真工具。Siemens Parasolid是德國西門子（Siemens）公司的一個幾何建模內核。Siemens Solid Edge是德國西門子（Siemens）公司的一款三維CAD軟件。該軟件可用于零件設計、裝配設計、鈑金設計、焊接設計等行業。JT Open Toolkit是為支持JT的軟件開發人員提供的應用程序編程接口（API）。JT是由西門子數字工業軟件開發的公開發布的數據格式，廣泛用于通信、可視化、數字模型和各種其他目的。Siemens Comos是德國西門子（Siemens）公司的一個工廠工程軟件解決方案。用于過程工業。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務。

CNVD收錄的相關漏洞包括：Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2023-13089、CNVD-2023-13088、CNVD-2023-13087、CNVD-2023-13090、CNVD-2023-13095）、Siemens Parasolid和Solid Edge SE2022越界讀取漏洞、Siemens JT Open和JT Utilitiesh內存破壞漏洞、Siemens Comos緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTML頁面繞過內容安全策略，泄露跨域數據，提升權限等。

CNVD收錄的相關漏洞包括：Google Chrome V8類型混淆漏洞（CNVD-2023-12021）、Google Android Kernel權限提升漏洞（CNVD-2023-12019）、Google Chrome iframe Sandbox代碼問題漏洞、Google Chrome安全特制問題漏洞、Google Chrome信息泄露漏洞（CNVD-2023-12025、CNVD-2023-14253、CNVD-2023-14290、CNVD-2023-14291）。其中，除“Google Android Kernel權限提升漏洞（CNVD-2023-12019）、Google Chrome信息泄露漏洞（CNVD-2023-12025）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe After Effects是美國奧多比（Adobe）公司的一套視覺效果和動態圖形制作軟件。該軟件主要用于2D和3D合成、動畫制作和視覺特效制作等。Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe After Effects輸入驗證錯誤漏洞、Adobe After Effects越界寫入漏洞（CNVD-2023-13729、CNVD-2023-13731）、Adobe Bridge越界寫入漏洞（CNVD-2023-13728、CNVD-2023-13734、CNVD-2023-14293）、Adobe Bridge堆棧緩沖區溢出漏洞（CNVD-2023-13735）、Adobe Bridge輸入驗證錯誤漏洞（CNVD-2023-14292）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell PowerScale OneFS是美國戴爾（Dell）公司的提供橫向擴展NAS的PowerScale OneFS操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過多個受影響字段存儲惡意HTML或JavaScript代碼，獲取敏感信息，導致系統崩潰等。

CNVD收錄的相關漏洞包括：Dell PowerScale OneFS跨站腳本漏洞、Dell PowerScale OneFS緩沖區溢出漏洞、Dell PowerScale OneFS日志信息泄露漏洞（CNVD-2023-12626、CNVD-2023-12625、CNVD-2023-12630、CNVD-2023-12627）、Dell PowerScale OneFS信任管理問題漏洞、Dell PowerScale OneFS操作系統命令注入漏洞。其中，“Dell PowerScale OneFS日志信息泄露漏洞（CNVD-2023-12626、CNVD-2023-12627）、Dell PowerScale OneFS信任管理問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda i9 formWifiMacFilterGet函數緩沖區溢出漏洞

Tenda i9是一款企業無線AP設備。上周，Tenda i9 formWifiMacFilterGet函數存在緩沖區溢出漏洞。攻擊者可利用該漏洞通過特制的字符串造成拒絕服務（DoS）。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Siemens產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務。此外，Google、Adobe、Dell等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTML頁面繞過內容安全策略，泄露跨域數據，提升權限，在當前用戶的上下文中執行任意代碼，導致系統崩潰等。另外，Tenda i9 formWifiMacFilterGet函數被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞通過特制的字符串造成拒絕服務（DoS）。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、證券日報、招商銀行、興業銀行、北京銀行微銀行、河北銀行、貴州銀行、江西轄內農商銀行微銀行報道

責任編輯：韓希宇