國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞496個，互聯網上出現“Cisco IOS XE Software web UI權限提升漏洞、Netis N3Mv2緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

郵儲銀行積極開展金融知識教育宣傳，傳遞金融溫暖能量

中國郵政儲蓄銀行在全行范圍內組織開展2023年“金融消費者權益保護教育宣傳月”活動，通過形式多樣、內容豐富的宣傳活動，幫助消費者提升金融素養、增強金融安全意識。>>詳細

假冒基金公司，編造“高大上”的投資名目……最高檢發布防范金融投資詐騙典型案例

假冒基金公司詐騙1.2億元、非法薦股誘騙股民高位接盤、以新三板公司擬上市為誘餌進行股權集資詐騙……>>詳細

養老防詐騙指南，請收好

在巨大的養老需求面前，不法分子以“養老”為名的詐騙手段花樣百出，給老年人造成財產損失和精神打擊，今天就帶您辨別養老詐騙，識破“養老理財”、“養老服務”等常見騙局，提高防詐意識！>>詳細

金教基地 | 警惕非法網貸套路深

合理控制個人消費水平，選擇正規渠道貸款，重視合同法律效力，詳細了解條款要求，理性維權，不接受無理要求。>>詳細

【防詐提醒】“百萬保障”服務要扣費？警惕這種新型騙局！

不要輕信“保證金”退回套路，不要向陌生賬戶轉賬匯款，保護您的資金安全。>>詳細

【安全小課堂】警惕！秋風起，大“詐”蟹來了！

大閘蟹禮品快遞+掃碼兌換+做任務=詐騙。>>詳細

小鷹說反詐 | 警惕對公賬戶變詐騙利器

隨著打擊治理電信詐騙的力度持續加大，不法分子瞄準了部分對公賬戶，以多種手段誘騙部分企業單位“主動”或“被動”參與到電信詐騙資金流轉活動中。>>詳細

上海農商銀行積極開展2023年金融消費者權益保護教育宣傳月活動

2023年金融消費者權益保護教育宣傳月期間，上海農商銀行360余家營業網點、近9000名員工參與其中，開展“五進入”教育宣傳活動2047場，觸及金融消費者超125萬人次。>>詳細

防詐|揭穿騙局，醫保網絡詐騙新套路

如在收到類似詐騙短信時，可以登錄“國家醫保服務平臺”官方網站或登錄國家醫保服務平臺APP等方式確認自己的醫保信息是否正常。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年10月16日-22日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞496個，其中高危漏洞192個、中危漏洞271個、低危漏洞33個。漏洞平均分值為6.17。上周收錄的漏洞中，涉及0day漏洞437個（占88%），其中互聯網上出現“Cisco IOS XE Software web UI權限提升漏洞、Netis N3Mv2緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Edge是美國微軟（Microsoft）公司的一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上獲取更高的權限。

CNVD收錄的相關漏洞包括：Microsoft Edge權限提升漏洞（CNVD-2023-76758、CNVD-2023-76759、CNVD-2023-76760、CNVD-2023-76761、CNVD-2023-76762、CNVD-2023-76763、CNVD-2023-76764、CNVD-2023-76765）。其中，除“Microsoft Edge權限提升漏洞（CNVD-2023-76762、CNVD-2023-76763）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Aspera是美國國際商業機器（IBM）公司的一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞使用特制的XML輸入獲取敏感的憑據信息，導致緩沖區溢出并在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM Aspera Cargo and IBM Aspera Connect信息泄露漏洞、IBM Aspera Faspex信息泄露漏洞（CNVD-2023-76768、CNVD-2023-76766、CNVD-2023-76773）、IBM Aspera Faspex安全繞過漏洞、IBM Aspera Cargo and IBM Aspera Connect代碼執行漏洞（CNVD-2023-76772、CNVD-2023-76771）、IBM Aspera Connect and IBM Aspera Cargo緩沖區溢出漏洞。其中，“IBM Aspera Cargo and IBM Aspera Connect代碼執行漏洞（CNVD-2023-76772、CNVD-2023-76771）、IBM Aspera Connect and IBM Aspera Cargo緩沖區溢出漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Bridge是一款功能強大的創意資源管理器，可讓用戶快速輕松地預覽、組織、編輯和發布多個創意資源，編輯元數據，為素材資源添加關鍵字、標簽和評分。Adobe Bridge使用集合組織資產，并使用強大的過濾器和高級元數據搜索功能查找資產。Adobe Illustrator是一套基于向量的圖像制作軟件。Adobe After Effects是一套視覺效果和動態圖形制作軟件，該軟件主要用于2D和3D合成、動畫制作和視覺特效制作等。Adobe InDesign是一套排版編輯應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過ASLR等緩解措施，導致敏感內存泄露，導致緩沖區溢出或堆溢出，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Photoshop緩沖區溢出漏洞（CNVD-2023-76927）、Adobe Bridge越界讀取漏洞（CNVD-2023-76928）、Adobe Illustrator緩沖區溢出漏洞（CNVD-2023-76932、CNVD-2023-76930、CNVD-2023-76935、CNVD-2023-76933）、Adobe After Effects越界讀取漏洞（CNVD-2023-76938）、Adobe InDesign緩沖區溢出漏洞（CNVD-2023-76940）。其中，除“Adobe Bridge越界讀取漏洞（CNVD-2023-76928）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

DELL產品安全漏洞

Dell SmartFabric Storage Software是美國戴爾（Dell）公司的一個獨立的存儲軟件解決方案。Dell Wyse Management Suite是一套用于管理和優化Wyse端點的、可擴展的解決方案。該產品包括Wyse端點集中管理、資產追蹤和自動設備發現等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取寫入日志文件的敏感信息，導致未經授權的數據訪問，在系統上執行任意命令等。

CNVD收錄的相關漏洞包括：Dell SmartFabric storage software命令注入漏洞、Dell SmartFabric Storage Software輸入驗證錯誤漏洞、Dell SmartFabric Storage Software權限提升漏洞、Dell SmartFabric Storage Software路徑遍歷漏洞、Dell SmartFabric Storage Software訪問控制錯誤漏洞、Dell SmartFabric Storage Software操作系統命令注入漏洞（CNVD-2023-77958、CNVD-2023-78231）、Dell Wyse Management Suite信息泄露漏洞。其中，“Dell SmartFabric storage software命令注入漏洞、Dell SmartFabric Storage Software權限提升漏洞、Dell SmartFabric Storage Software操作系統命令注入漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-806命令執行漏洞

D-Link DIR-806是中國友訊（D-Link）公司的一款無線路由器。上周，D-Link DIR-806被披露存在命令執行漏洞。攻擊者可利用該漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上獲取更高的權限。此外，IBM、Adobe、Dell等多款產品被披露存在多個漏洞，攻擊者可利用漏洞讀取寫入日志文件的敏感信息，使用特制的XML輸入獲取敏感的憑據信息，導致緩沖區溢出或堆溢出，在當前用戶的上下文中執行任意代碼等。另外，D-Link DIR-806被披露存在命令執行漏洞。攻擊者可利用該漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、證券日報、郵儲銀行+、廣發銀行、中原銀行、晉商銀行、微青銀、杭州銀行、上海農商銀行、廣東農信報道

責任編輯：韓希宇