國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞376個，互聯網上出現“Tenda AC10U fromAddressNat函數堆棧緩沖區溢出漏洞、Tenda AC10U fromDhcpListClient函數堆棧緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家金融監督管理總局：警惕不法金融中介陷阱

若發現自己陷入不法金融中介陷阱，應注意保存證據并第一時間向當地公安機關報案。>>詳細

【消?！糠丛p小劇場：防范投資理財騙局

這么高的收益真的靠譜嘛？有沒有可能是詐騙呀？您要不要再了解了解這家公司再做決定？>>詳細

網絡金融安全課堂丨這些反洗錢知識您get到了嗎？

隨著互聯網技術的迅速發展，手機銀行、個人網銀等非面對面業務迅速普及，極大提高了銀行交易效率。與此同時，網絡金融洗錢風險也在隨之增加。>>詳細

反詐新臺階，境外分行（香港）上線HKMA電子銀行安保新10條

香港金融監管局HKMA通函提示，要求旗下所屬銀行業主體于2024年3月31日前新增10項新措施加強電子銀行保安，以防止騙子通過電子銀行賬戶進行可疑交易。>>詳細

蘇說消保微課堂丨防范電信詐騙，享受幸福人生

不要點擊不明鏈接，不要將資產轉入所謂的“安全賬戶”。>>詳細

消保為民 | 防范“征信修復”騙局

社會上不斷出現以“征信修復”、“征信洗白”為誘餌的電信網絡詐騙，社會公眾不僅無法借此刪除不良信用記錄，還存在信息泄露、上當受騙、錢財損失的風險。>>詳細

4·15全民國家安全教育日 | 維護金融安全，共筑國家安全防線

維護國家金融安全，不僅需要金融機構強化審慎合規的經營理念，同時還需要廣大金融消費者加強風險防范意識，維護自身合法權益。>>詳細

【消保以案說險】退費補償？當心“餡餅”變“陷阱”

正規退費流程一般以原路返還的形式返還給本人繳費賬號，凡是退款時附加購買商品或支付費用條件的，都是要提高警惕！>>詳細

服務暖行丨江西·農商銀行成功攔截多起電信網絡詐騙

凡是遇到陌生網站（鏈接、二維碼）要登記銀行卡信息的，都是電信詐騙。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年4月8日-14日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞376個，其中高危漏洞158個、中危漏洞201個、低危漏洞17個。漏洞平均分值為6.34。上周收錄的漏洞中，涉及0day漏洞314個（占84%），其中互聯網上出現“Tenda AC10U fromAddressNat函數堆棧緩沖區溢出漏洞、Tenda AC10U fromDhcpListClient函數堆棧緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，提升權限，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Google Chrome安全繞過漏洞（CNVD-2024-16875、CNVD-2024-16881）、Google Chrome代碼執行漏洞（CNVD-2024-16876、CNVD-2024-16880、CNVD-2024-16883、CNVD-2024-16937）、Google Chrome信息泄露漏洞（CNVD-2024-16879）、Google Android權限提升漏洞（CNVD-2024-16882）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell PowerProtect Data Manager（PPDM）是美國戴爾（Dell）公司的一套數據保護解決方案。該產品支持數據備份、虛擬機備份和數據庫保護等功能。Dell OpenManage Enterprise是美國戴爾（Dell）公司的一款用于IT基礎架構管理的易于使用的一對多系統管理控制臺。Dell vApp Manager是美國戴爾（Dell）公司的一個虛擬應用程序管理器。Dell ECS是美國戴爾（Dell）公司的一款可擴展、易于管理且具有彈性的企業級對象存儲解決方案。Dell BSAFE Micro Edition Suite是美國戴爾（Dell）公司的一個可為c/c++應用、設備、系統提供加密、證書和傳輸層安全性的開發工具包。Dell PowerScale OneFS是美國戴爾（Dell）公司的一個操作系統。提供橫向擴展NAS的PowerScale OneFS操作系統。Dell NetWorker是美國戴爾（Dell）公司的一個應用程序。提供戴爾公司的論壇討論功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，在系統上執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Dell OpenManage Enterprise路徑遍歷漏洞、Dell PowerProtect Data Manager XML外部實體注入漏洞、Dell vApp Manager操作系統命令注入漏洞（CNVD-2024-16927、CNVD-2024-16928）、Dell ECS不正確訪問控制漏洞、Dell BSAFE Micro Edition Suite信息泄露漏洞、Dell PowerScale OneFS權限提升漏洞（CNVD-2024-16933）、Dell NetWorker信息泄露漏洞。其中，“Dell vApp Manager操作系統命令注入漏洞（CNVD-2024-16927、CNVD-2024-16928）、Dell ECS不正確訪問控制漏洞、Dell BSAFE Micro Edition Suite信息泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM InfoSphere Information Server是美國國際商業機器（IBM）公司的一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。IBM App Connect Enterprise是美國國際商業機器（IBM）公司的一個操作系統。IBM Integration Bus（IBM WebSphere Message Broker）是美國國際商業機器（IBM）公司的一款企業服務總線（ESB）產品。該產品為面向服務架構（SOA）環境和非SOA環境提供連通性和通用數據轉換。IBM CICS Transaction Gateway是美國國際商業機器（IBM）公司的一個用于企業CICS資產現代化的連接器。IBM Cloud Pak for Business Automation是美國國際商業機器（IBM）公司的一組模塊化的集成軟件組件，專為任何混合云而構建，旨在實現工作自動化和加速業務增長。IBM Security Verify Directory是美國國際商業機器（IBM）公司的一款身份驗證和訪問管理解決方案的一部分。IBM Storage Protect Plus Server是美國國際商業機器（IBM）公司的一款IBM Storage軟件，可為虛擬機、數據庫、應用程序、文件系統、SaaS工作負載和容器提供恢復、復制、保留和復用功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息等。

CNVD收錄的相關漏洞包括：IBM InfoSphere Information Server日志信息泄露漏洞、IBM App Connect Enterprise and IBM Integration Bus for z/OS信息泄露漏洞、IBM CICS Transaction Gateway for Multiplatforms信息泄露漏洞、IBM Cloud Pak for Business Automation訪問控制錯誤漏洞（CNVD-2024-16917）、IBM Security Verify Directory信息泄露漏洞（CNVD-2024-16925、CNVD-2024-16924）、IBM Storage Protect Plus Server信息泄露漏洞（CNVD-2024-16923）、IBM Storage Protect Plus Server訪問控制錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit Reader和Foxit PhantomPDF都是中國福昕（Foxit）公司的一款PDF文檔閱讀器。Foxit PDF Editor是一款PDF編輯器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞寫入任意文件，在系統上執行代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Reader和PDF Editor代碼執行漏洞、Foxit PDF Reader Doc Object代碼執行漏洞、Foxit PDF Reader AcroForm Annotation類型混淆代碼執行漏洞、Foxit PDF Reader緩沖區溢出漏洞（CNVD-2024-17009）、Foxit PDF Reader遠程代碼執行漏洞（CNVD-2024-17008）、Foxit PDF Reader AcroForm代碼執行漏洞（CNVD-2024-17007、CNVD-2024-17006）、Foxit Reader和Foxit PhantomPDF任意文件寫入漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Technicolor TC8715D跨站腳本漏洞

Technicolor TC8715D是法國特藝（Technicolor）公司的一個無線路由器。上周，Technicolor TC8715D被披露存在跨站腳本漏洞。攻擊者可利用該漏洞獲取用戶cookie等敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，提升權限，在系統上執行任意代碼。此外，Dell、IBM、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，寫入任意文件，在系統上執行任意代碼，導致拒絕服務等。另外，Technicolor TC8715D被披露存在跨站腳本漏洞。攻擊者可利用漏洞獲取用戶cookie等敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家金融監督管理總局、中信銀行、興業銀行、晉商銀行、江蘇銀行、桂林銀行金融服務、江西轄內農商銀行、興業數金報道

責任編輯：韓希宇