國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞396個，互聯網上出現“AdvanceMAME堆棧緩沖區溢出漏洞、Milesight UR32L firewall_handler_set函數緩沖區溢出漏洞（CNVD-2023-61192）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家互聯網信息辦公室關于《人臉識別技術應用安全管理規定（試行）（征求意見稿）》公開征求意見的通知

使用人臉識別技術驗證個人身份、辨識特定自然人的，鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等權威渠道。>>詳細

一圖讀懂APP備案

設立移動互聯網應用程序應當按照國家有關規定向電信主管部門辦理許可或者備案手續。>>詳細

支付清算協會：個人支付信息不應提供給非業務相關方

原則上，支付業務主體不應在支付業務以外的情形下使用個人支付信息。>>詳細

鯉想金融小課堂：青少年防范欺詐案例

暑期也是青少年詐騙案件高發期，在享受美好假期的同時，要記得防范電信網絡詐騙，讓我們一起來看看和青少年有關的電信詐騙案例吧~>>詳細

以案說險 | 警惕信用卡提額騙局

不法分子常常自稱銀行工作人員，以多種形式騙取受害者資金，常見的手段包括“擔保賬戶”、不明網站鏈接、暗中綁定APP等。>>詳細

警惕五種養老服務詐騙新花樣

民政部日前發布《關于養老服務領域非法集資的風險提示》，提醒老年人自覺遠離非法集資，防范合法權益受到侵害。>>詳細

【消保小講堂】警惕貸款中介不法行為侵害

謊稱“銀行內部關系”保證放款的，收取各類手續費的，提供不明貸款鏈接的，都不能信！定要選擇正規機構辦理貸款！>>詳細

【消?！糠离娫p小常識了解一下

投資理財，請認準銀行、有資質的證券公司等正規途徑！切勿盲目相信所謂的“投資導師”、“炒股專家”。>>詳細

知識講堂|防范用卡風險，保障用卡安全

信用卡作為便捷的金融支付工具，日益受到廣大消費者青睞，因此，用卡安全日益備受重視，在此提醒廣大持卡人不要將信用卡出租、出借或交由他人保管以免造成損失。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年7月31日-8月6日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞396個，其中高危漏洞210個、中危漏洞172個、低危漏洞14個。漏洞平均分值為6.69。上周收錄的漏洞中，涉及0day漏洞336個（占85%），其中互聯網上出現“AdvanceMAME堆棧緩沖區溢出漏洞、Milesight UR32L firewall_handler_set函數緩沖區溢出漏洞（CNVD-2023-61192）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。上周，上述產品被披露存在越界讀取漏洞，攻擊者可利用漏洞導致內存泄露。

CNVD收錄的相關漏洞包括：Adobe InDesign越界讀取漏洞（CNVD-2023-59724、CNVD-2023-59723、CNVD-2023-59725、CNVD-2023-59726、CNVD-2023-59728、CNVD-2023-59727、CNVD-2023-59729、CNVD-2023-59731）。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens SIMATIC CN 4100是德國西門子（Siemens）公司的一個通信節點。RUGGEDCOM產品提供了一定程度的穩健性和可靠性，為部署在惡劣環境中的通信網絡設定了標準。Siemens Teamcenter Visualization是德國西門子（Siemens）公司的一個可為設計2D、3D場景提供團隊協作功能的軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼，獲得管理員訪問權限，從而完全控制設備等。

CNVD收錄的相關漏洞包括：Siemens SIMATIC CN 4100訪問控制不當漏洞、Siemens RUGGEDCOM ROX命令注入漏洞（CNVD-2023-60606、CNVD-2023-60607、CNVD-2023-60609、CNVD-2023-60608、CNVD-2023-60610、CNVD-2023-60611）、Siemens Teamcenter Visualization緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2023-59950、CNVD-2023-59952、CNVD-2023-59957、CNVD-2023-59956）、Mozilla Firefox緩沖區溢出漏洞（CNVD-2023-59954）、Mozilla Firefox跨站腳本漏洞（CNVD-2023-59953）、Mozilla Firefox權限許可和訪問控制問題漏洞（CNVD-2023-59955）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-59959）。其中，除“Mozilla Firefox信息泄露漏洞（CNVD-2023-59950、CNVD-2023-59957）、Mozilla Firefox跨站腳本漏洞（CNVD-2023-59953）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲得提升的權限，在系統上執行任意代碼或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-60890、CNVD-2023-60902、CNVD-2023-60903）、Google Android Framework代碼執行漏洞（CNVD-2023-60900、CNVD-2023-60937）、Google Android權限提升漏洞（CNVD-2023-60938）、Google Chrome V8代碼執行漏洞（CNVD-2023-60939）、Google Chrome WebXR代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TeleAdapt RoomCast TA-2400權限提升漏洞

TeleAdapt RoomCast TA-2400是英國TeleAdapt公司的一款適用于客房的一體化、自帶的頂級內容流媒體盒。上周，TeleAdapt RoomCast TA-2400被披露存在權限提升漏洞。該漏洞是由于Android調試橋（ADB）的權限管理不當造成的。攻擊者可利用該漏洞獲得提升的root權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在越界讀取漏洞，攻擊者可利用漏洞導致內存泄露。此外，Siemens、Mozilla、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在當前進程的上下文中執行代碼，獲得管理員訪問權限，從而完全控制設備等。另外，TeleAdapt RoomCast TA-2400被披露存在權限提升漏洞。攻擊者可利用該漏洞獲得提升的root權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、中國網信網、中國證券報·中證網、廊坊銀行、微青銀、桂林銀行金融服務、云南紅塔銀行、昆侖銀行、廣東農信報道

責任編輯：韓希宇