國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞241個，互聯網上出現“Tenda AC23堆棧溢出漏洞（CNVD-2023-15697）、yasm hash函數拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融詐騙套路多 山寨App背后暗藏貓膩

山寨金融App一般與官方正版App使用相近的字，圖標設計也十分相似，一時讓人難以分辨，但進入界面后卻“別有洞天”。>>詳細

銀保監會消保局副局長向巴澤西：以問題為導向 做好金融消費者權益保護工作

中國式現代化是人口規模巨大的現代化，要求消保工作不斷提升覆蓋面，幫助14億多人口公平享受金融服務。>>詳細

興業銀行打造“反詐重器”，守牢人民群眾“錢袋子”

興業銀行“企業級數字化智能反欺詐平臺”是踐行以人民為中心發展思想，切實維護金融消費者合法權益，運用數字化技術重點打造的“反詐重器”，具有“高、精、準、好、快、活”的特點。>>詳細

3·15｜保護個人金融信息安全 防范電信詐騙風險

個人金融信息的泄露會嚴重影響到大家日常生活，不法分子可能利用這些信息申請貸款并冒領資金，導致財產損失并影響征信。特別是青年群體處于人生、事業的起步階段，更加需要提高警惕，防范過度借貸誘導，加強對自身金融信息的保護，利用法律武器保護合法權益。>>詳細

養老騙局又升級？交通銀行教您守護錢袋子

老年人買理財產品，要多思考、多咨詢、不沖動。對待“高額回報”“快速致富” 的投資項目要冷靜分析。>>詳細

農業銀行開展“3·15”消費者權益保護教育宣傳周活動

3月13日-19日，農業銀行全面開展2023年“3·15”消費者權益保護教育宣傳周活動，旨在提升消費者金融素養，提振金融消費信心，構建和諧健康金融消費環境。>>詳細

數字證書吊銷后還能作電子簽名嗎？這些知識，劃重點！

數字證書存在移動端安全環境中，由用戶自己持有，自己控制，簽名私鑰也存在移動端安全環境中，不可導出、不可復制。>>詳細

【3·15】反詐特輯｜共筑金融防火墻

不輕易點擊社交軟件中來源不明的鏈接，不掃描沒有安全保障的二維碼。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年3月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞241個，其中高危漏洞147個、中危漏洞81個、低危漏洞13個。漏洞平均分值為7.05。上周收錄的漏洞中，涉及0day漏洞165個（占68%），其中互聯網上出現“Tenda AC23堆棧溢出漏洞（CNVD-2023-15697）、yasm hash函數拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

DELL產品安全漏洞

Dell PowerPath Management Appliance是美國戴爾（Dell）公司的一種PowerPath主機管理應用程序，提供兩種模型：基于虛擬機的設備和Docker容器化設備。Dell PowerScale OneFS是一個操作系統。提供橫向擴展NAS的PowerScale OneFS操作系統。Dell BIOS是一個計算機主板上小型內存芯片上的嵌入式軟件。Dell EMC Metro node是一個除數據中心內部、跨數據中心和數據中心之間的物理障礙的應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感數據，通過發送惡意的HTTP或HTTPS請求以root用戶權限執行任意的shell命令，覆蓋任意文件從而導致拒絕服務等。

CNVD收錄的相關漏洞包括：Dell PowerPath Management Appliance授權問題漏洞、Dell PowerScale OneFS資源管理錯誤漏洞、Dell PowerScale OneFS授權問題漏洞（CNVD-2023-14503）、Dell BIOS輸入驗證錯誤漏洞（CNVD-2023-14507、CNVD-2023-14506）、Dell EMC Metro node代碼注入漏洞、Dell BIOS緩沖區溢出漏洞（CNVD-2023-14511）、Dell PowerScale OneFS信息泄露漏洞（CNVD-2023-16362）。其中，“Dell PowerPath Management Appliance授權問題漏洞、Dell EMC Metro node代碼注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞在受害者的瀏覽器上下文中執行惡意JavaScript代碼。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2023-15822、CNVD-2023-15825、CNVD-2023-15824、CNVD-2023-15823、CNVD-2023-15828、CNVD-2023-15827、CNVD-2023-15826、CNVD-2023-15831）。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google TensorFlow是美國谷歌（Google）公司的一套用于機器學習的端到端開源平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致拒絕服務。

CNVD收錄的相關漏洞包括：Google TensorFlow輸入驗證錯誤漏洞（CNVD-2023-15776、CNVD-2023-15775、CNVD-2023-15779、CNVD-2023-15778、CNVD-2023-15777、CNVD-2023-15781、CNVD-2023-15780）、Google TensorFlow緩沖區溢出漏洞（CNVD-2023-15774）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens 產品安全漏洞

Siemens Solid Edge是德國西門子（Siemens）公司的一款三維CAD軟件。該軟件可用于零件設計、裝配設計、鈑金設計、焊接設計等行業。Siemens Tecnomatix Plant Simulation是面向對象的、圖形化的、集成的建模、仿真工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過解析特制的DWG文件在當前進程中執行代碼等。

CNVD收錄的相關漏洞包括：Siemens Solid Edge未初始化指針漏洞（CNVD-2023-15413、CNVD-2023-15420）、Siemens Solid Edge內存破壞漏洞（CNVD-2023-15415）、Siemens Tecnomatix Plant Simulation未初始化指針漏洞、Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2023-15417）、CNVD-2023-15416、CNVD-2023-15419、CNVD-2023-15418）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ZTE ZXHN-H108NS堆棧緩沖區溢出漏洞

ZTE ZXHN-H108NS是中國中興通訊（ZTE）公司的一款無線路由器。上周，ZTE ZXHN-H108NS被披露存在堆棧緩沖區溢出漏洞。攻擊者可利用此漏洞導致設備崩潰。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，DELL產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感數據，通過發送惡意的HTTP或HTTPS請求以root用戶權限執行任意的shell命令，覆蓋任意文件從而導致拒絕服務等。此外，Adobe、Google、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在受害者的瀏覽器上下文中執行惡意JavaScript代碼，通過解析特制的DWG文件在當前進程中執行代碼，導致拒絕服務。另外，ZXHN-H108NS被披露存在堆棧緩沖區溢出漏洞。攻擊者可利用此漏洞導致設備崩潰。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、證券日報、中國農業銀行、中國銀行、交通銀行、興業銀行、南京銀行報道

責任編輯：韓希宇