國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞542個，互聯網上出現“Student Grading System SQL注入漏洞（CNVD-2022-44234）、Purchase Order Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

銀保監會發布風險提示：防范冒用銀保監會名義實施“清退回款”詐騙

銀保監會消費者權益保護局發布風險提示，提示金融消費者要提高警惕，增強風險防范意識和識別能力，如發現此類涉嫌詐騙犯罪線索，應立即向公安機關等有關部門報案或反映。>>詳細

守住錢袋子 護好幸福家 | 交行助您提高風險防范意識

本次宣傳月期間，交行聚焦養老服務、私募基金、財富管理等重點領域，緊盯非法集資新形式新手段，通過廳堂網點宣傳、社區宣傳、新媒體渠道宣傳等多種方式向廣大群眾揭示非法集資性質、特征及主要手法。>>詳細

【消?！肯？俊捌帧薄呖歼^后，學生家長們快看過來！

查分請認準教育主管部門]指定的網址，要謹防各類涉及查分的短信、鏈接。一旦個人信息泄露，騙子將會利用這些信息進行精準侵害。>>詳細

防疫也防詐，警惕以“疫”之名的種種騙局

所謂內幕和信息全是騙子使的計，個人信息很重要，賬號密碼保管好，陌生鏈接莫亂點，目的就是騙你錢。真假“李逵”難分辨,轉賬匯款就受騙。>>詳細

金融云別忘定期“體檢”，提升數字“免疫力”

應用云計算技術的金融機構和云廠商都應對金融云安全提起高度重視，及時開展安全檢測、合規認證工作，必要時應委托專業、正規的第三方測評機構進行云計算平臺安全檢測。>>詳細

以案說險 | 教您防范電信網絡詐騙之網絡虛假“國企”詐騙

請提高警惕，不要隨意加入網絡虛擬團體組織，不要聽信其高額的回報誘惑，守護好自己和家人的“錢袋子”，防范資金流入詐騙分子手中。>>詳細

大連銀行打造移動威脅感知平臺 助力數字安全生態建設

近日，大連銀行投產上線了移動威脅感知平臺，其承擔著對大連銀行移動金融APP應用環境的檢測、預測職能，通過在APP中加入威脅感知探針，能夠動態發現應用運行過程中的各類攻擊行為。>>詳細

防范養老陷阱 守護幸福晚年

老年人面對眾多理財產品時，不要隨意聽信任何推銷產品人員的一面之詞，不要盲目相信宣傳的收益率。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年6月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞542個，其中高危漏洞169個、中危漏洞292個、低危漏洞81個。漏洞平均分值為5.57。上周收錄的漏洞中，涉及0day漏洞396個（占73%），其中互聯網上出現“Student Grading System SQL注入漏洞（CNVD-2022-44234）、Purchase Order Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞導致本地權限升級。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-43854、CNVD-2022-43857、CNVD-2022-43856、CNVD-2022-43855、CNVD-2022-44604、CNVD-2022-44607、CNVD-2022-44606、CNVD-2022-44605）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印，簽名和注釋PDF。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：多款Adobe產品資源管理錯誤漏洞（CNVD-2022-43379、CNVD-2022-43455、CNVD-2022-43382、CNVD-2022-43380、CNVD-2022-43384、CNVD-2022-43454）、多款Adobe產品越界寫入漏洞（CNVD-2022-43453）、多款Adobe產品越界讀取漏洞（CNVD-2022-43383）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過Web身份驗證并獲得設備的管理訪問權限，創建任意文件，進行權限提升等。

CNVD收錄的相關漏洞包括：Huawei HarmonyOS整數溢出漏洞（CNVD-2022-44616）、Huawei HarmonyOS授權問題漏洞（CNVD-2022-44619、CNVD-2022-44618）、Huawei HarmonyOS目錄遍歷漏洞、Huawei HarmonyOS WIFI模塊權限提升漏洞、Huawei HarmonyOS拒絕服務漏洞（CNVD-2022-44620）、Huawei HarmonyOS DFX模塊訪問控制錯誤漏洞、Huawei HarmonyOS DFX模塊釋放后重用漏洞。其中，“Huawei HarmonyOS WIFI模塊權限提升漏洞、Huawei HarmonyOS DFX模塊釋放后重用漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Threat Defense是美國思科（Cisco）公司的一套提供下一代防火墻服務的統一軟件。Cisco Firepower Management Center（FMC）是美國思科（Cisco）公司的新一代防火墻管理中心軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在未經適當授權的情況下查看數據，將XML注入命令解析器，導致命令的意外處理和意外的命令輸出，觸發拒絕服務 (DoS) 條件等。

CNVD收錄的相關漏洞包括：Cisco Firepower Threat Defense輸入驗證錯誤漏洞、Cisco Firepower Threat Defense代碼問題漏洞、Cisco Firepower Management Center輸入驗證錯誤漏洞（CNVD-2022-43400）、Cisco Firepower Management Center代碼問題漏洞、Cisco Firepower Threat Defense訪問控制錯誤漏洞（CNVD-2022-43398）、Cisco Firepower Threat Defense資源管理錯誤漏洞（CNVD-2022-43404）、Cisco Firepower Threat Defense拒絕服務漏洞（CNVD-2022-43403、CNVD-2022-43402）。其中，“Cisco Firepower Threat Defense代碼問題漏洞、Cisco Firepower Management Center代碼問題漏洞、Cisco Firepower Threat Defense資源管理錯誤漏洞（CNVD-2022-43404）、Cisco Firepower Threat Defense拒絕服務漏洞（CNVD-2022-43402）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Vite目錄遍歷漏洞

Vite?種新型前端構建?具，能夠顯著提升前端開發體驗。上周，Vite被披露存在目錄遍歷漏洞。攻擊者可利用該漏洞訪問本地?件系統。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在權限提升漏洞，攻擊者可利用漏洞導致本地權限升級。此外，Adobe、Huawei、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在未經適當授權的情況下查看數據，將XML注入命令解析器，導致命令的意外處理和意外的命令輸出，觸發拒絕服務 (DoS) 條件，在當前用戶的上下文中執行任意代碼等。另外，Vite被披露存在目錄遍歷漏洞。攻擊者可利用該漏洞訪問本地?件系統。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、每日經濟新聞、今日建行、交通銀行、郵儲銀行+、浦發銀行、恒豐銀行、大連銀行報道

責任編輯：韓希宇