國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞483個，互聯網上出現“Vehicle Booking System文件上傳漏洞、SIYUCMS遠程代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

當AI詐騙顛覆“眼見為實”，我們應該如何應對？

用于AI詐騙的深度合成技術顛覆了公眾眼見為實的認知，而這往往使得詐騙能夠成功。而在相關治理方面，則可以通過“能力+場景”完善分級分類治理標準，以應對技術帶來的伴生風險。>>詳細

《商用密碼管理條例》修訂版正式發布 7月1日起施行

為了規范商用密碼應用和管理，鼓勵和促進商用密碼產業發展，保障網絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益，根據《中華人民共和國密碼法》等法律，制定本條例。>>詳細

AI換臉冒充好友詐騙430萬，聽聽網絡安全專家們怎么說？

如果要進行不易被識別的、專業級別的AI換臉換聲，需要在實驗室環境條件進行，后者為其提供較強的計算機性能支撐，如果單憑手機性能，僅能提供P圖級別的換臉，極易被識別。>>詳細

關于對《網絡安全標準實踐指南——人臉識別支付場景個人信息保護安全要求（征求意見稿）》公開征求意見的通知

為指導各相關方加強對人臉識別支付場景下的個人信息保護，秘書處組織編制了《網絡安全標準實踐指南——人臉識別支付場景個人信息保護安全要求（征求意見稿）》。>>詳細

出游好時節 交行為您帶來旅行防騙攻略

當下，許多消費者會選擇在線提前購買門票，而犯罪分子會以超低價門票為噱頭，誘導消費者點擊偽造的官方網站鏈接，從而將消費者吸引入圈套并實施詐騙。>>詳細

金融防騙小貼士丨如何防范洗錢風險

不受朋友之托和利益誘惑，使用自己的賬戶為他人提取現金，不為他人洗錢提供便利。>>詳細

【安全小課堂】AI換臉好玩？就怕用在這里！

隨著人工智能(AI)技術的普及，Al換聲、換臉一時爆火，給我們帶來互聯網新奇、便捷體驗的同時，欺詐風險也隨之而來。>>詳細

科技周網安科普之數據安全

用戶數據權限最小化，確保必要的、夠用的數據被訪問和使用，導出權限要嚴控。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年5月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞483個，其中高危漏洞230個、中危漏洞224個、低危漏洞29個。漏洞平均分值為6.43。上周收錄的漏洞中，涉及0day漏洞428個（占89%），其中互聯網上出現“Vehicle Booking System文件上傳漏洞、SIYUCMS遠程代碼執行漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Huawei產品安全漏洞

Huawei HiLink AI Life是中國華為（Huawei）公司的全屋智能解決方案。Huawei EMUI是一款基于Android開發的移動端操作系統。Huawei HarmonyOS是提供一個基于微內核的全場景分布式操作系統。Huawei BiSheng-WNM FW是一款華為打印機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問未經授權的信息，導致惡意隱藏應用程序圖標，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei HiLink AI Life授權問題漏洞、Huawei EMUI和HarmonyOS拒絕服務漏洞（CNVD-2023-38960）、Huawei EMUI和HarmonyOS信息泄露漏洞、Huawei EMUI和HarmonyOS安全繞過漏洞、Huawei EMUI和HarmonyOS雙重釋放漏洞、Huawei BiSheng-WNM FW拒絕服務漏洞（CNVD-2023-39039、CNVD-2023-39041、CNVD-2023-39040）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Schneider Electric產品安全漏洞

Schneider Electric StruxureWare Data Center Expert是法國施耐德電氣（Schneider Electric）公司的一種監控軟件。適用于各種組織監控其全公司范圍內的電力、制冷、安全、環境。Schneider Electric Igss Data Server是一個交互式圖形Scada系統的數據服務器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發送特制的消息來獲取操作和讀取IGSS項目報告目錄中的文件，導致遠程代碼執行等。

CNVD收錄的相關漏洞包括：Schneider Electric StruxureWare Data Center Expert操作系統命令注入漏洞、Schneider Electric StruxureWare Data Center Expert訪問控制錯誤漏洞（CNVD-2023-37594）、Schneider Electric StruxureWare Data Center Expert訪問控制錯誤漏洞（CNVD-2023-37593、CNVD-2023-37592）、Schneider Electric StruxureWare Data Center Expert代碼注入漏洞（CNVD-2023-37598、CNVD-2023-37597）、Schneider Electric IGSS Data Server緩沖區溢出漏洞（CNVD-2023-38194）、Schneider Electric IGSS Data Server訪問控制錯誤漏洞（CNVD-2023-38195）。除“Schneider Electric StruxureWare Data Center Expert操作系統命令注入漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Substance 3D Stager是美國奧多比（Adobe）公司的一個虛擬3D工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取超出已分配內存結構的末尾，在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Stager越界讀取漏洞（CNVD-2023-37604、CNVD-2023-37603、CNVD-2023-37606、CNVD-2023-37605、CNVD-2023-37608、CNVD-2023-37607）、Adobe Substance 3D Stager緩沖區溢出漏洞（CNVD-2023-37602、CNVD-2023-37601）。除“Adobe Substance 3D Stager越界讀取漏洞（CNVD-2023-37608、CNVD-2023-37603）”外其余漏洞的綜合評級為 “高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Maximo Asset Management是美國國際商業機器（IBM）公司的一套綜合性資產生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產，如設施、交通運輸等，并對這些資產實現單點控制。IBM Business Automation Workflow是一個集成平臺，可幫助業務用戶大規模地快速自動完成業務運營的各個方面。IBM UrbanCode Deploy（UCD）是一套應用自動化部署工具。該工具基于一個應用部署自動化管理信息模型，并通過遠程代理技術，實現對復雜應用在不同環境下的自動化部署等。IBM WebSphere Application Server（WAS）是一款應用服務器產品。該產品是JavaEE和Web服務應用程序的平臺，也是IBMWebSphere軟件平臺的基礎。IBM Financial Transaction Manager for SWIFT Services是一款金融事務管理器產品。該產品主要用于監控、跟蹤和報告金融支付和交易。IBM Safer Payments是美國IBM公司的第一個真正的支付處理認知欺詐預防解決方案。幫助客戶創建定制的、用戶友好的決策模型。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞泄露敏感密碼信息，注入惡意的JavaScript腳本等。

CNVD收錄的相關漏洞包括：IBM Maximo Asset Management跨站腳本漏洞（CNVD-2023-37159）、IBM Business Automation Workflow跨站腳本漏洞（CNVD-2023-37162）、IBM UrbanCode Deploy信息泄露漏洞（CNVD-2023-37161）、IBM WebSphere Application Server信任管理問題漏洞、IBM Financial Transaction Manager for SWIFT Services跨站腳本漏洞（CNVD-2023-37163）、IBM Safer Payments加密問題漏洞、IBM WebSphere Application Server跨站腳本漏洞（CNVD-2023-37168）、IBM Maximo Asset Management信息泄露漏洞（CNVD-2023-37167）。其中，“IBM Safer Payments加密問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-605L堆棧緩沖區溢出漏洞

D-Link DIR-605L是中國友訊（D-Link）公司的一款無線路由器。上周，D-Link DIR-605L被披露存在堆棧緩沖區溢出漏洞。攻擊者可利用該漏洞使緩沖區溢出并在系統上執行任意代碼，或者導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Huawei產品被披露存在多個漏洞，攻擊者可利用漏洞訪問未經授權的信息，導致惡意隱藏應用程序圖標，造成拒絕服務等。此外，Schneider Electric、Adobe、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞發送特制的消息來獲取操作和讀取IGSS項目報告目錄中的文件，注入惡意的JavaScript腳本，在當前用戶的上下文中執行任意代碼等。另外，D-Link DIR-605L被披露存在堆棧緩沖區溢出漏洞。攻擊者可利用該漏洞使緩沖區溢出并在系統上執行任意代碼，或者導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國政府網、21世紀經濟報道、第一財經、全國信安標委、交通銀行、興業銀行、杭州銀行、鄞州銀行報道

責任編輯：韓希宇