國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞475個，互聯網上出現“novel-plus文件上傳漏洞、 Personnel Property Equipment System跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

關于防范冒用金融監管名義實施詐騙的風險提示

國家金融監督管理總局發布消費者權益保護風險提示，提醒廣大金融消費者提高警惕，增強反詐意識和識別能力，保護好個人信息和財產安全。>>詳細

反詐安全播報，請查收

陌生好友需警惕，領導身份核仔細，交易指令莫輕信，轉賬匯款不大意。>>詳細

工行員工及時防范AI換臉詐騙，幫客戶避免損失100萬

這是新型AI換臉詐騙，騙子只需要拿到一張帶臉的照片，就可以換人臉，實施詐騙，一定要警惕！>>詳細

以案說險，警惕AI換臉新騙局

眼見不一定為實，有圖也不一定就是真相，可通過仔細觀看人物眨眼、情緒變化、畫面停頓或變色等情況識別“假臉”。>>詳細

安全課堂 | 樂享暑假，謹防未成年人掉入電信網絡詐騙陷阱

家長要保護好個人手機和支付賬戶，設置并保護好開機和打開軟件的數字或手勢密碼，防止孩子使用自己的手機及支付賬戶轉賬或付款。>>詳細

“適老”有溫度｜老年人投資理財風險提示

老年投資者可參加正規機構組織的線上線下金融消費者權益保護教育宣傳活動，積累必要的投資理財知識，提高風險識別能力。>>詳細

【消保宣傳】提升安全防范意識，謹防電信詐騙！

廣州農商銀行消保小衛士總結了一些常見的電信詐騙情況，希望大家在遇到類似情況時，能更加警惕，有效防范電信詐騙。>>詳細

用卡知識小講堂|如何安全用卡？

日常生活中，無論是旅游還是消費，都離不開銀行卡。用卡注意事項來啦！>>詳細

【防詐指南】這份暑期防詐指南請查收！

如需兼職，請通過正規渠道；任何需要墊資的網絡刷單都是詐騙；千萬不要繳納任何違約金、保證金、解凍金等，切莫陷入“低投入、高回報”的陷阱。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年7月3日-9日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞475個，其中高危漏洞306個、中危漏洞157個、低危漏洞12個。漏洞平均分值為6.98。上周收錄的漏洞中，涉及0day漏洞410個（占86%），其中互聯網上出現“novel-plus文件上傳漏洞、Personnel Property Equipment System跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升，通過藍牙遠程執行代碼等。

CNVD收錄的相關漏洞包括：Google Android輸入驗證錯誤漏洞（CNVD-2023-53154、CNVD-2023-53156、CNVD-2023-53163）、Google Android邏輯缺陷漏洞（CNVD-2023-53155）、Google Android資源管理錯誤漏洞（CNVD-2023-53161、CNVD-2023-53160）、Google Android加密問題漏洞（CNVD-2023-53159）、Google Android代碼問題漏洞（CNVD-2023-53158）。其中，“Google Android資源管理錯誤漏洞（CNVD-2023-53160）、Google Android加密問題漏洞（CNVD-2023-53159）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft SharePoint Server是美國微軟（Microsoft）公司的一套企業業務協作平臺。該平臺用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Microsoft Excel是美國微軟（Microsoft）公司的一款Office套件中的電子表格處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞進行欺騙攻擊，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft SharePoint Server欺騙漏洞（CNVD-2023-53461、CNVD-2023-53462）、Microsoft Excel遠程代碼執行漏洞（CNVD-2023-53904、CNVD-2023-53906）、Microsoft Excel安全功能繞過漏洞（CNVD-2023-53907）、Microsoft Excel代碼執行漏洞（CNVD-2023-53908、CNVD-2023-53909、CNVD-2023-53911）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。Adobe Substance 3D Designer是美國奧多比（Adobe）公司的一款3D設計軟件。Adobe Photoshop是一個由Adobe開發和發行的應用軟件，用于圖像處理。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞注入精心設計的有效載荷執行任意Web腳本或HTML，在系統上執行任意代碼或者導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2023-54543）、Adobe Experience Manager輸入驗證錯誤漏洞（CNVD-2023-54542）、Adobe Animate資源管理錯誤漏洞、Adobe Substance 3D Designer緩沖區溢出漏洞、Adobe Animate緩沖區溢出漏洞（CNVD-2023-54550）、Adobe Photoshop緩沖區溢出漏洞（CNVD-2023-54549、CNVD-2023-54551）、Adobe Photoshop資源管理錯誤漏洞（CNVD-2023-54548）。其中，除“Adobe Experience Manager跨站腳本漏洞（CNVD-2023-54543）、Adobe Experience Manager輸入驗證錯誤漏洞（CNVD-2023-54542）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致拒絕服務，提交特殊的請求，可以內核上下文執行任意代碼，提升權限等。

CNVD收錄的相關漏洞包括：Linux kernel vidtv_mux_stop_thread拒絕服務漏洞、Linux kernel gsmld_write拒絕服務漏洞、Linux Kernel資源管理錯誤漏洞（CNVD-2023-54414）、Linux Kernel緩沖區溢出漏洞（CNVD-2023-54413）、inux Kernel RxRPC競爭條件問題漏洞、Linux kernel信息泄露漏洞（CNVD-2023-54416）、Linux kernel拒絕服務漏洞（CNVD-2023-54415、CNVD-2023-54619）。其中，“Linux Kernel拒絕服務漏洞（CNVD-2023-54619）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

北京星網銳捷網絡技術有限公司RG-BCR860操作系統命令注入漏洞

RG-BCR860是中國銳捷網絡（Ruijie Networks）公司的一款商業云路由器。上周，北京星網銳捷網絡技術有限公司RG-BCR860被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限提升，通過藍牙遠程執行代碼等。此外，Microsoft、Adobe、Linux等多款產品被披露存在多個漏洞，攻擊者可利用漏洞進行欺騙攻擊，在系統上執行任意代碼，提升權限等。另外，北京星網銳捷網絡技術有限公司RG-BCR860操作系統被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家金融監督管理總局、工商銀行、浦發銀行、北京銀行微銀行、甘肅銀行、江西銀行、廣州農村商業銀行、廣東農信報道

責任編輯：韓希宇