國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞301個，互聯網上出現“JeeCMS跨站腳本漏洞（CNVD-2023-17600）、WUZHI CMS跨站腳本漏洞（CNVD-2023-17601）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

當AI科技照進現實 安全問題不容忽視

風口已至，計算浪潮奔涌而來，在前景向好的大背景下，關口前移，建立數據安全防護墻也至關重要。>>詳細

中信銀行反詐“哨兵”，幸福財富信守安全

“哨兵”智能反欺詐系統，通過在欺詐交易關鍵鏈路上引入公安、社交、電信等外部風險信息，利用機器學習和大數據技術，實現風控策略的動態調整，管控措施的梯度化和精準化，強化反詐預警能力與勸阻機制。>>詳細

消保專欄 | 工行助力百姓守好“錢袋子”

近期，工商銀行精心開展了一系列形式多樣的金融知識宣傳普及活動。>>詳細

遠離詐騙 | 借貸轉賬？客戶慌忙趕來辦理業務，交行員工發現暗藏的騙局......

經過工作人員的勸說引導，客戶明白自己遇到了詐騙。為避免其資金損失，經客戶同意后，工作人員對其名下賬戶進行了掛失處理，保障了銀行卡的資金安全。>>詳細

騙術千千萬 防騙留心眼 | 杭州銀行成功堵截三起詐騙事件

為防止其他人員被騙，銀行工作人員立即聯系了反詐中心和人行麗水市中心支行反詐人員，將情況反饋后，反詐中心立即對賬戶進行了止付。>>詳細

每一步，平安路！平安銀行開展3·15金融知識普及活動

平安銀行行長胡躍飛、行長特別助理蔡新發、行長助理孫芳滔、消費者權益保護中心主任顏恒、副主任樊麗等領導帶頭掛帥組團，化身“微光點亮者”，在線號召全行員工和金融消費者們通過線上、線下多種形式參與金融公益，在全國范圍內健全和擴展金融宣教長效合作關系，一起放飛金融夢想，點亮消保微光！>>詳細

場景金融時代 如何筑牢商業銀行API安全防線？

為提高商業銀行應用程序接口檢測效率，CFCA自主研發“CFCA開放銀行應用程序接口檢測平臺”。平臺可在線開展API接口安全檢測，實現一定程度的應用程序接口自動化檢測，多方面驗證API安全水平。>>詳細

【反詐】銀行卡突然收到一筆錢？千萬別急著這樣做

請廣大市民妥善保管好自己的銀行卡、手機卡(包括具備支付結算功能的賬戶)，切勿貪圖小利出售、出租、出借銀行卡、電話卡，否則極易成為犯罪分子的“幫兇”并受到法律的嚴厲懲處。>>詳細

【以案說險】現金換微信零錢嗎？且慢！已有人上當！

來源不明的二維碼千萬不要掃，不然很可能被不法分子利用，導致個人機密信息被竊取，甚至造成巨大財產損失，一旦發現上當受騙，請立刻報警！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年3月13日-19日）信息安全漏洞威脅整體評價級別為高。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞301個，其中高危漏洞192個、中危漏洞98個、低危漏洞11個。漏洞平均分值為7.44。上周收錄的漏洞中，涉及0day漏洞179個（占59%），其中互聯網上出現“JeeCMS跨站腳本漏洞（CNVD-2023-17600）、WUZHI CMS跨站腳本漏洞（CNVD-2023-17601）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面從進程內存中獲取潛在的敏感信息，通過特制的HTML頁面導致堆損壞等。

CNVD收錄的相關漏洞包括：Google Chrome DevTools組件類型混肴漏洞、Google Chrome Crash reporting組件緩沖區溢出漏洞、Google Chrome Core資源管理錯誤漏洞、Google Chrome Autofill組件代碼問題漏洞、Google Chrome V8類型混淆漏洞（CNVD-2023-17527）、Google Chrome UMA組件緩沖區溢出漏洞（CNVD-2023-17526）、Google Chrome DevTools資源管理錯誤漏洞（CNVD-2023-17525）、Google Chrome Web Audio API組件緩沖區溢出漏洞。其中，除“Google Chrome Autofill組件代碼問題漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link產品安全漏洞

D-Link DIR-605L是中國D-Link公司的一款無線路由器。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞導致遠程代碼執行或服務中斷。

CNVD收錄的相關漏洞包括：D-Link DIR-605L緩沖區溢出漏洞（CNVD-2023-17668、CNVD-2023-17667、CNVD-2023-17666、CNVD-2023-17670、CNVD-2023-17669、CNVD-2023-17673、CNVD-2023-17672、CNVD-2023-17671）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Premiere Rush是美國奧多比（Adobe）公司的一套跨平臺的視頻編輯軟件。Adobe After Effects是美國奧多比（Adobe）公司的一套視覺效果和動態圖形制作軟件。該軟件主要用于2D和3D合成、動畫制作和視覺特效制作等。Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致敏感內存泄露，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Bridge堆緩沖區溢出漏洞（CNVD-2023-17020、CNVD-2023-17019）、Adobe Bridge越界讀取漏洞（CNVD-2023-17018）、Adobe Photoshop輸入驗證錯誤漏洞（CNVD-2023-17021）、Adobe Photoshop越界寫入漏洞（CNVD-2023-17022）、Adobe Premiere Rush堆棧緩沖區溢出漏洞、Adobe After Effects越界讀取漏洞（CNVD-2023-17024）、Adobe Animate內存錯誤引用漏洞。除“Adobe Bridge越界讀取漏洞（CNVD-2023-17018）、Adobe After Effects越界讀取漏洞（CNVD-2023-17024）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla PollBot是Mozilla基金會的一個微服務。將人類從Firefox發布過程中的狀態輪詢這一繁重任務中解放出來。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞將任何人重定向到惡意站點，繞過已實施的安全限制在受害者的瀏覽器中執行任意JavaScript代碼，通過使程序在當前目錄中搜索系統庫提升權限等。

CNVD收錄的相關漏洞包括：Mozilla Firefox競爭條件問題漏洞（CNVD-2023-17319）、Mozilla Firefox權限提升漏洞（CNVD-2023-17318）、Mozilla PollBot開放重定向漏洞、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-17321、CNVD-2023-17323）、Mozilla Firefox緩沖區溢出漏洞（CNVD-2023-17324）、Mozilla Firefox安全特征問題漏洞（CNVD-2023-17322、CNVD-2023-17320）。其中，除“Mozilla Firefox權限提升漏洞（CNVD-2023-17318）、Mozilla PollBot開放重定向漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Advantech iView SQL注入漏洞（CNVD-2023-16475）

Advantech iView是中國Advantech公司的一個基于簡單網絡協議（SNMP）來對B + B SmartWorx設備進行管理的軟件。上周，Advantech iView 5.7.04.6469之前版本被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數據庫敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面從進程內存中獲取潛在的敏感信息，通過特制的HTML頁面導致堆損壞等等。此外，D-Link、Adobe、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致遠程代碼執行或服務中斷，將任何人重定向到惡意站點，繞過已實施的安全限制在受害者的瀏覽器中執行任意JavaScript代碼，通過使程序在當前目錄中搜索系統庫提升權限。另外，Advantech iView被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數據庫敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、證券日報、中國工商銀行、交通銀行、中信銀行微生活、杭州銀行微訊、貴陽銀行、廣州農村商業銀行報道

責任編輯：韓希宇