國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞398個，互聯網上出現“MotoCMS SQL注入漏洞、Total CMS文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【防騙】這三類人群請提高警惕，騙子可能在“惦記”你們

投資理財要選擇正規機構和渠道，增強理性投資理財觀念，切記天上不會掉餡餅，警惕各類宣稱“低風險、高回報”的投資理財項目。>>詳細

消保課堂 | 養成日常好習慣，保護個人金融信息

金融業務盡量親自辦理，減少委托他人辦理帶來的信息盜用風險，尤其是信用卡、貸款、理賠等業務。>>詳細

火熱報名中！2023信創“大比武”金融業務創新應用賽道Q&A

2023信創“大比武”金融業務創新應用賽道自7月26日啟動報名以來，已見金融江湖各路豪杰群情激昂、躍躍欲試！>>詳細

反詐宣傳“暑期檔” ，金融知識伴成長

課堂上，浦發員工以講故事、做游戲、看短片的形式，詳細講解了“非法買賣銀行卡”“非法集資”“非法套路貸”“網絡電信詐騙”的套路，帶領孩子們熟記“四不原則”“八個凡是”口訣。>>詳細

【反洗錢】如何防范信用卡溢繳款洗錢

信用卡溢繳款是指持卡人在信用額度未被使用的情況下存放在信用卡賬戶里的資金，或者在使用信用卡額度后歸還欠款后剩余的資金。>>詳細

以案說險：這不是一個普通的“電詐受騙人”-- 杭州銀行西興支行協助公安發現轉移非法資金團伙

杭州銀行將持續做好員工的防詐反詐技能培訓，從身邊細節入手，通過源頭堵截，警銀聯合團結協作，扎實做好防詐反詐工作。>>詳細

警惕“代理維權”陷阱，依法維護自身權益

部分“黑產鋪”打著專業反催收，逾期鏟單，減免債務，征信修復等“代理維權”的旗號，牟取非法利益。>>詳細

「警惕」| 農商消消樂-保護個人信息 警惕虛假宣傳

近期，我行接到多起舉報，有不法分子通過電話、短信、微信渠道發布與我行名稱、我行產品名稱等相類似的個人信用貸款申辦信息，誤導社會大眾，產生不良影響。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年8月14日-20日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞398個，其中高危漏洞170個、中危漏洞206個、低危漏洞22個。漏洞平均分值為6.48。上周收錄的漏洞中，涉及0day漏洞308個（占77%），其中互聯網上出現“MotoCMS SQL注入漏洞、Total CMS文件上傳漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。V8是其中的一套開源JavaScript引擎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Google Chrome代碼執行漏洞（CNVD-2023-63463、CNVD-2023-63464、CNVD-2023-63465、CNVD-2023-63467、CNVD-2023-63468、CNVD-2023-63469、CNVD-2023-63470、CNVD-2023-63471）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致越界讀取，系統崩潰或提升其在系統上的權限等。

CNVD收錄的相關漏洞包括：Linux kernel內存錯誤引用漏洞（CNVD-2023-62923）、Linux kernel拒絕服務漏洞（CNVD-2023-62922）、Linux kernel緩沖區溢出漏洞（CNVD-2023-62927）、Linux kernel越界讀取漏洞（CNVD-2023-62926）、Linux kernel vcs_read內存錯誤引用漏洞、Linux kernel輸入驗證錯誤漏洞（CNVD-2023-62931）、Linux kernel fbcon.c文件越界讀取漏洞、Linux kernel smb2pdu.c文件越界讀取漏洞（CNVD-2023-62929）。其中，“Linux kernel拒絕服務漏洞（CNVD-2023-62922）、Linux kernel輸入驗證錯誤漏洞（CNVD-2023-62931）、Linux kernel smb2pdu.c文件越界讀取漏洞（CNVD-2023-62929）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Webex Meetings是美國思科（Cisco）公司的一套視頻會議解決方案。Cisco SD-WAN vManage是美國思科（Cisco）公司的一個高度可定制的儀表板?？珊喕妥詣踊疌isco SD-WAN的部署、配置、管理和操作。Cisco AsyncOS是美國思科（Cisco）公司的產品。Cisco AsyncOS是一款應用于思科設備的操作系統。Cisco DNA Center是美國思科（Cisco）公司的一個網絡管理和命令中心服務。Cisco Secure Workload是美國思科（Cisco）公司的一種允許用戶在其應用程序工作負載上安裝軟件代理的軟件。Cisco StarOS是美國思科（Cisco）公司的一套虛擬化操作系統。Cisco Smart Software Manager On-Prem（SSM On-Prem）是美國思科（Cisco）公司的一款用于Cisco產品許可證管理的組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML，獲得讀取權限或有限的寫入權限，以根用戶身份從受限容器中讀取信息、枚舉用戶信息或在受限容器中執行任意命令等。

CNVD收錄的相關漏洞包括：Cisco Webex Meetings跨站腳本漏洞（CNVD-2023-62934）、Cisco SD-WAN vManage輸入驗證錯誤漏洞（CNVD-2023-62933）、Cisco AsyncOS輸入驗證錯誤漏洞、Cisco DNA Center授權問題漏洞、Cisco Secure Workload OpenAPI特權提升漏洞、Cisco Webex Meetings跨站請求偽造漏洞、Cisco StarOS輸入驗證錯誤漏洞、Cisco Smart Software Manager On-Prem SQL注入漏洞。其中，“Cisco SD-WAN vManage輸入驗證錯誤漏洞（CNVD-2023-62933）、Cisco StarOS輸入驗證錯誤漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致敏感內存泄露，通過繞過API黑名單功能在當前用戶的上下文中導致任意代碼執行等。

CNVD收錄的相關漏洞包括：Adobe Acrobat Reader越界讀取漏洞（CNVD-2023-62945、CNVD-2023-62948、CNVD-2023-62946、CNVD-2023-62951、CNVD-2023-62949、CNVD-2023-62953）、Adobe Acrobat Reader訪問控制錯誤漏洞（CNVD-2023-62944）、Adobe Acrobat Reader越界寫入漏洞（CNVD-2023-62947）。其中“Adobe Acrobat Reader訪問控制錯誤漏洞（CNVD-2023-62944）、Adobe Acrobat Reader越界寫入漏洞（CNVD-2023-62947）、Adobe Acrobat Reader越界讀取漏洞（CNVD-2023-62951）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ASUS RT-AX88U ej.c緩沖區溢出漏洞

ASUS RT-AX88U是中國華碩（ASUS）公司的一個無線路由器。上周，ASUS RT-AX88U被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞向設備發送特制請求，導致httpd二進制文件在ej.c的do_json_decode()函數中崩潰，從而導致DoS。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或導致應用程序崩潰。此外，Linux、Cisco、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致越界讀取，系統崩潰或提升其在系統上的權限，以根用戶身份從受限容器中讀取信息、枚舉用戶信息或在受限容器中執行任意命令等。另外，ASUS RT-AX88U被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞向設備發送特制請求，導致httpd二進制文件在ej.c的do_json_decode()函數中崩潰，從而導致DoS。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國工商銀行客戶服務、遇見浦發、恒豐銀行、哈爾濱銀行、杭州銀行消保之聲、云南紅塔銀行、上海農商銀行報道

責任編輯：韓希宇