國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞425個，互聯網上出現“Geeklog grp_desc參數跨站腳本漏洞、PortlandLabs Concrete CMS跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

反詐識詐 | “成功”企業團隊的秘訣是……

反詐識詐，安全支付，普及金融知識，守護支付安全。>>詳細

【防騙】網購雖快樂，也別放松警惕，這幾件事可能藏著風險

涉及主動要求參與網絡兼職刷單、辦理網購退款理賠、退訂取消“VIP會員、保險”等業務的，八成是詐騙，請提高警惕，不要輕易向陌生人轉賬匯款。>>詳細

消保小課堂｜老年人該如何識別詐騙陷阱守住養老錢呢？

多學習金融知識，了解金融產品的特征、辦理流程及金融常識，增強風險識別能力。>>詳細

消保為民 | 如何識別非法金融廣告

金融消費者要提高警惕，謹慎識別非法金融廣告，對廣告內容進行充分了解和分析，并采取相應的防范措施。>>詳細

“以案說險”｜勿點不明鏈接，守護支付安全

提高支付安全意識，請通過正規渠道進行支付，切勿點擊不明鏈接，防范因信息泄露導致的銀行卡盜刷風險。>>詳細

“百萬保障”續費騙局，它又雙叒叕來了！

妥善保管好個人信息，切勿輕易向陌生賬戶轉賬，謹慎與陌生人進行手機屏幕共享，避免落入不法分子的詐騙圈套！>>詳細

中消協提醒消費者防范“網絡購物退貨退款”騙術

在日常生活中要提高個人信息保護意識，不隨意點擊陌生鏈接，不掃描陌生二維碼，不下載陌生軟件，不加入陌生群聊，尤其是要保護好自己的身份證號、銀行卡賬號、驗證碼等重要信息，預防網絡詐騙。>>詳細

數智反詐｜揭秘！這次阻截可疑資金的竟然是……

杭州銀行某支行在辦理客戶取現業務時，柜面系統突然顯示已自動暫停該筆取現并出現風險提示。>>詳細

【保定銀行】開展金融消費者權益保護知識進校園活動

近期，保定銀行成功舉辦了兩場金融消費者權益保護知識進校園活動?；顒臃謩e在保定學院和河北工藝美術職業學院舉行，保定銀行及多家金融機構宣講代表以及保定學院、河北工藝美術職業學院師生共同參加。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年10月30日-11月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞425個，其中高危漏洞177個、中危漏洞229個、低危漏洞19個。漏洞平均分值為6.34。上周收錄的漏洞中，涉及0day漏洞364個（占86%），其中互聯網上出現“Geeklog grp_desc參數跨站腳本漏洞、PortlandLabs Concrete CMS跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼，獲得提升的特權。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-82060、CNVD-2023-82061、CNVD-2023-82066、CNVD-2023-82067、CNVD-2023-82070）、Google Android代碼執行漏洞（CNVD-2023-82068、CNVD-2023-82071）、Google Android onCreate模塊授權問題漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5 BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IQ Centralized Management是美國F5公司的一套基于軟件的云管理解決方案。該方案支持跨公共和私有云、傳統數據中心和混合環境部署應用交付和網絡服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，修改BIG-IP邊緣客戶端的請求和響應，在系統上執行任意系統命令，導致進程終止等。

CNVD收錄的相關漏洞包括：F5 BIG-IP遠程代碼執行漏洞（CNVD-2023-82300）、F5 BIG-IP和BIG-IQ Centralized Management拒絕服務漏洞、F5 BIG-IP信息泄露漏洞（CNVD-2023-82304）、F5 BIG-IP Edge Client for Windows和macOS安全繞過漏洞（CNVD-2023-82305、CNVD-2023-82306）、F5 BIG-IP拒絕服務漏洞（CNVD-2023-82307）、F5 BIG-IP路徑遍歷漏洞（CNVD-2023-82309）、F5 BIG-IP資源管理錯誤漏洞。其中，“F5 BIG-IP遠程代碼執行漏洞（CNVD-2023-82300）、F5 BIG-IP Edge Client for Windows和macOS安全繞過漏洞（CNVD-2023-82306）、F5 BIG-IP拒絕服務漏洞（CNVD-2023-82307）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe Media Encoder是美國奧多比（Adobe）公司的一款音、視頻編碼應用程序。Adobe Connect是美國奧多比（Adobe）公司的一個用于創建會議環境的軟件。Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Commerce是美國奧多比（Adobe）公司的一種面向商家和品牌的全球領先的數字商務解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問未經授權的數據，在系統上執行任意代碼或者導致拒絕服務等。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2023-82284）、Adobe InDesign緩沖區溢出漏洞（CNVD-2023-82288）、Adobe Media Encoder緩沖區溢出漏洞（CNVD-2023-82287）、Adobe Connect跨站腳本漏洞（CNVD-2023-82286）、Adobe Acrobat and Reader越界讀取漏洞（CNVD-2023-82289）、Adobe Commerce授權問題漏洞（CNVD-2023-82676）、Adobe Commerce跨站腳本漏洞（CNVD-2023-82675）、Adobe Commerce SQL注入漏洞。其中，“Adobe InDesign緩沖區溢出漏洞（CNVD-2023-82288）、Adobe Commerce授權問題漏洞（CNVD-2023-82676）、Adobe Commerce跨站腳本漏洞（CNVD-2023-82675）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是美國微軟（Microsoft）公司的一套個人設備使用的操作系統。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞遠程執行代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows Layer 2 Tunneling Protocol遠程代碼執行漏洞（CNVD-2023-81880、CNVD-2023-81879、CNVD-2023-81878、CNVD-2023-81883、CNVD-2023-81882、CNVD-2023-81881、CNVD-2023-81885、CNVD-2023-81884）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TeleAdapt RoomCast TA-2400信任管理問題漏洞

TeleAdapt RoomCast TA-2400是英國TeleAdapt公司的一款適用于客房的一體化、自帶的頂級內容流媒體盒。上周，TeleAdapt RoomCast TA-2400被披露存在信任管理問題漏洞。攻擊者可利用該漏洞偽造密鑰。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼，獲得提升的特權。此外，F5、Adobe、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，修改BIG-IP邊緣客戶端的請求和響應，在系統上執行任意系統命令，導致拒絕服務等。另外，TeleAdapt RoomCast TA-2400被披露存在信任管理問題漏洞。攻擊者可利用該漏洞偽造密鑰。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、銀聯北京、中國工商銀行客戶服務、郵儲銀行+、平安銀行、興業銀行、保定銀行、杭州銀行微訊、晉商銀行報道

責任編輯：韓希宇