國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞349個，互聯網上出現“Tenda AC10U formSetDeviceName函數堆棧緩沖區溢出漏洞、Yifan YF325緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

農業銀行開展2024年“3·15”金融消費者權益保護教育宣傳活動

3月5日至18日，農業銀行開展2024年“3·15”金融消費者權益保護教育宣傳活動，主題口號為“金融消保在身邊 保障權益防風險”。>>詳細

聚焦“3·15”消費者權益日 守護信用卡安全消費環境

“3·15”期間，交通銀行信用卡中心積極踐行金融為民思想，持續開展反詐教育活動，為增強消費者防騙、識騙、拒騙能力貢獻自身力量。>>詳細

防范養老詐騙，共護幸福晚年

近期，一些不法分子利用“代理退?！薄耙苑筐B老”“投資理財”等方式“套路”詐騙消費者，尤其令老年人“防不勝防”，嚴重侵害老年消費者合法權益。>>詳細

反詐專欄 | 別成為騙子的幫兇！看恒豐小“桂圓”如何智堵詐騙款

恒豐銀行溫馨提醒：銀行交易需謹慎，自己卡開首已用。出借他人幫小忙，或恐成為替罪羊。租售卡片恐涉詐，貪圖小利獲刑罰。不聽不借慎轉賬，共筑反詐厚屏障。>>詳細

安全課堂 | 免費領取游戲禮包？當心金融詐騙陷阱

作為家長要加強對孩子的反詐教育，對來歷不明的電話、短信、鏈接做到不理、不點；對網絡上陌生人搭訕發放的“禮包”、“紅包”，堅決不聽、不信。>>詳細

【啟動】內蒙古銀行2024年“3·15”金融消費者權益保護教育宣傳活動

堅持以人民為中心的價值取向，以提升消費者金融素養和金融安全意識、增強依法維權意識和能力為目的，宣導金融政策、提示金融風險，倡導理性投資理念。>>詳細

防詐|信用卡詐騙套路解析

信用卡具有消費、透支、轉賬、取現等多項功能，提供極為便利的金融服務，但伴隨便利的同時也存在風險，悅小e帶大家了解如何防范信用卡欺詐風險。>>詳細

【知識】提高警惕，謹防這類電信網絡詐騙手段！

只要談到錢，不要僅憑網絡聊天，一定要撥打對方電話、見面、簽字，再三確認。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年2月26日-3月3日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞349個，其中高危漏洞135個、中危漏洞196個、低危漏洞18個。漏洞平均分值為6.43。上周收錄的漏洞中，涉及0day漏洞251個（占72%），其中互聯網上出現“Tenda AC10U formSetDeviceName函數堆棧緩沖區溢出漏洞、Yifan YF325緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲得提升的權限，在系統上執行任意代碼，或者導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Google Chrome堆緩沖區溢出漏洞（CNVD-2024-10412）、Google Chrome內存錯誤引用漏洞（CNVD-2024-10413、CNVD-2024-10414、CNVD-2024-10415）、Google Android權限提升漏洞（CNVD-2024-10417、CNVD-2024-10418、CNVD-2024-10423）、Google Android代碼執行漏洞（CNVD-2024-10419）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM PowerSC是美國國際商業機器（IBM）公司的一款用于IBM Power Systems服務器的安全和合規性解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞暴力破解帳戶憑據，訪問未經授權的用戶，注入惡意的HTML代碼等。

CNVD收錄的相關漏洞包括：IBM PowerSC加密問題漏洞（CNVD-2024-09945）、IBM PowerSC跨站腳本漏洞、IBM PowerSC點擊劫持漏洞、IBM PowerSC信息泄露漏洞（CNVD-2024-09941、CNVD-2024-09950）、IBM PowerSC會話固定漏洞（CNVD-2024-09948、CNVD-2024-09951）、IBM PowerSC認證錯誤漏洞。其中，“IBM PowerSC信息泄露漏洞（CNVD-2024-09950）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox（Web瀏覽器）的一個延長支持版本。Mozilla Thunderbird是電子郵件客戶端軟件，支持IMAP、POP郵件協議以及HTML郵件格式。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，在系統上執行任意代碼或導致拒絕服務等。

CNVD收錄的相關漏洞包括：多款Mozilla產品代碼執行漏洞、Mozilla Firefox拒絕服務漏洞（CNVD-2024-10431、CNVD-2024-10432、CNVD-2024-10435、CNVD-2024-10437）、多款Mozilla產品安全繞過漏洞（CNVD-2024-10434）、多款Mozilla產品權限提升漏洞（CNVD-2024-10433）、多款Mozilla產品拒絕服務漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Companion是德國思愛普（SAP）公司的一款SAP的協同服務器。SAP ABA (Application Basis) 是一款由SAP開發的應用事務管理系統。SAP IDES Systems是德國思愛普（SAP）公司的一款交互式演示與教育系統。SAP Cloud Connector是德國思愛普（SAP）公司的一個工具，用于建立本地系統與 SAP Cloud Platform 之間的安全連接。SAP S/4HANA是德國思愛普（SAP）公司的一個基于SAP HANA內存數據庫系統的的企業資源管理軟件。SAP NetWeaver ABAP Server是德國思愛普（SAP）公司的一個用作SAP產品的Web應用程序服務器。SAP NetWeaver AS是德國思愛普（SAP）公司的一款SAP網絡應用服務器。它不僅能提供網絡服務，且還是SAP軟件的基本平臺。SAP Application Interface Framework（SAP AIF）是德國思愛普（SAP）公司的一個應用程序接口框架。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲得對數據的訪問權限，執行任意代碼，導致權限升級等。

CNVD收錄的相關漏洞包括：SAP Companion跨站腳本漏洞、SAP ABA代碼注入漏洞、SAP IDES Systems命令注入漏洞、SAP Cloud Connector信任管理問題漏洞（CNVD-2024-10198）、SAP S/4HANA授權問題漏洞（CNVD-2024-10202）、SAP NetWeaver ABAP Server跨站腳本漏洞（CNVD-2024-10201）、SAP NetWeaver AS跨站腳本漏洞（CNVD-2024-10206）、SAP Application Interface Framework跨站腳本漏洞。其中，“SAP ABA代碼注入漏洞、SAP Cloud Connector信任管理問題漏洞（CNVD-2024-10198）” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Hyperledger Ursa信息泄露漏洞

Hyperledger Ursa是Hyperledger開源的一個與區塊鏈一起使用的密碼庫。上周，Hyperledger Ursa被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲得提升的權限，在系統上執行任意代碼，或者導致應用程序崩潰。此外，IBM、Mozilla、SAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲得對數據的訪問權限，注入惡意的HTML代碼，在系統上執行任意代碼或導致拒絕服務等。另外，Hyperledger Ursa被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國農業銀行、交通銀行、興業銀行、恒豐銀行總行、北京銀行微銀行、內蒙古銀行、廣東農信、江西轄內農商銀行微銀行報道

責任編輯：韓希宇