國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞308個，互聯網上出現“Tenda AC10堆棧緩沖區溢出漏洞、iKuai8命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融監管總局：加強第三方合作中網絡和數據安全管理

部分銀行保險機構的外包服務商發生多起安全風險事件，對銀行保險機構的網絡和數據安全、業務連續性造成一定影響，暴露出銀行保險機構在外包服務管理上存在突出風險問題。>>詳細

交行防詐攻略 教您識破新型AI騙局

近期，新型騙局AI詐騙爆發頻繁，我們應該怎么辦？別急，姣姣給您帶來了一份最新的防詐指南，教您識破騙局，牢牢守好自己的“錢袋子”。>>詳細

【謹防詐騙】銀行催辦企業賬戶年審？當心！這是詐騙！

請各單位組織企業員工，尤其是對財務人員進行宣傳培訓，建立健全財務管理規章制度，確保大額轉賬匯款前必須履行核查核實和審批程序。>>詳細

上海農商銀行舉辦“普及金融知識 守住錢袋子 護好幸福家”活動

近年來，上海農商銀行始終堅持“金融為民”理念，以“集中性+陣地化”的多元教育模式，強化對“一老一少一新”等特殊群體的金融知識宣傳。>>詳細

小鄭說消保 | 識別非法金融廣告，遠離非法金融陷阱

不法分子利用網絡的便捷性，通過多種渠道投放非法金融廣告，誤導、誘騙金融消費者參與非法金融活動，造成了嚴重的后果。>>詳細

【防范詐騙】警惕！你的錢包已被盯上！

正規貸款無需客戶繳納保證金，如要求提供保證金才能放款，一定是詐騙。>>詳細

防范電信詐騙，警惕“征信修復”陷阱

互聯網平臺客服不會使用個人手機號或是其他非官方社交方式聯系客戶，接到這類電話一定要提高警惕并進行核實。>>詳細

小課堂|ATM安全用卡指南

謹慎轉賬至陌生賬戶，如不慎已通過ATM跨行轉賬至詐騙分子賬戶，24小時內可及時撥打銀行客服熱線或至銀行柜臺申請撤銷轉賬。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年6月19日-25日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞308個，其中高危漏洞207個、中危漏洞93個、低危漏洞8個。漏洞平均分值為7.05。上周收錄的漏洞中，涉及0day漏洞241個（占78%），其中互聯網上出現“Tenda AC10堆棧緩沖區溢出漏洞、iKuai8命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Commerce是美國奧多比（Adobe）公司的一種面向商家和品牌的數字商務解決方案。Adobe Premiere Rush是美國奧多比（Adobe）公司的一套跨平臺的視頻編輯軟件。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。Adobe Creative Cloud Desktop Application是美國奧多比（Adobe）公司的一套用于在Creative云會員管理中心管理應用程序和服務的應用程序。該程序支持同步和共享文件、管理字體以及訪問商業攝影和設計的資產庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Commerce任意代碼執行漏洞、Adobe Commerce安全繞過漏洞（CNVD-2023-50130）、Adobe Premiere Rush內存錯誤引用漏洞、Adobe Photoshop內存錯誤引用漏洞、Adobe Illustrator越界寫入漏洞（CNVD-2023-50820、CNVD-2023-50822）、Adobe Illustrator代碼執行漏洞（CNVD-2023-50821）、Adobe Creative Cloud Desktop Application代碼執行漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼，造成拒絕服務（DoS）。

CNVD收錄的相關漏洞包括：Foxit PDF Reader拒絕服務漏洞、Foxit PDF Reader資源管理錯誤漏洞（CNVD-2023-49833、CNVD-2023-49832、CNVD-2023-49836、CNVD-2023-49835、CNVD-2023-49834）、Foxit PDF Reader緩沖區溢出漏洞（CNVD-2023-49839、CNVD-2023-49838）。其中，除“Foxit PDF Reader拒絕服務漏洞、Foxit PDF Reader緩沖區溢出漏洞（CNVD-2023-49838）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Rockwell Automation產品安全漏洞

Rockwell Automation Kinetix 5500是美國羅克韋爾（Rockwell Automation）公司的第一款采用外部公共交流/直流總線連接系統設計的Kinetix驅動器。 它降低了硬件要求，并允許無縫擴展，對單軸或多軸系統使用單一平臺。Rockwell Automation Arena Simulation Software是美國羅克韋爾（Rockwell Automation）公司的一套提供3D動畫和圖形功能的仿真軟件。Rockwell Automation FactoryTalk Vantagepoint是美國羅克韋爾（Rockwell Automation）公司的在統一生產模型（UPM）中組織、關聯和規范化制造和生產流程以及業務系統的不同數據的平臺。Rockwell Automation ThinManager ThinServer是美國羅克韋爾（Rockwell Automation）公司的一款瘦客戶端管理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過開放端口未經授權訪問設備，遠程執行任意代碼，導致程序崩潰等。

CNVD收錄的相關漏洞包括：Rockwell Automation Kinetix 5500訪問控制錯誤漏洞、Rockwell Automation Arena Simulation Software緩沖區溢出漏洞（CNVD-2023-49823、CNVD-2023-49822、CNVD-2023-49821）、Rockwell Automation FactoryTalk Vantagepoint跨站請求偽造漏洞、Rockwell Automation ThinManager ThinServer路徑遍歷漏洞（CNVD-2023-49827、CNVD-2023-49826）、Rockwell Automation ThinManager ThinServer緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-50309、CNVD-2023-50310、CNVD-2023-50311、CNVD-2023-50829、CNVD-2023-50830）、Google Android拒絕服務漏洞（CNVD-2023-50826）、Google Android信息泄露漏洞（CNVD-2023-50827、CNVD-2023-50828）。其中，除“Google Android信息泄露漏洞（CNVD-2023-50827、CNVD-2023-50828）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-600命令注入漏洞

D-Link DIR-600是中國友訊（D-Link）公司的一款無線路由器。上周，D-Link DIR-600被披露存在命令注入漏洞。該漏洞源于lxmldbc_system()函數中的ST參數未能正確過濾構造命令特殊字符、命令等。攻擊者可利用此漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全功能，在系統上執行任意代碼。此外，Foxit、Rockwell Automation、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過開放端口未經授權訪問設備，獲取敏感信息，提升權限，在當前進程的上下文中執行代碼，造成拒絕服務等。另外，D-Link DIR-600被披露存在命令注入漏洞，攻擊者可利用此漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、交通銀行、鄭州銀行、甘肅銀行、桂林銀行金融服務、i上農商行、廣州農村商業銀行、廣東農信報道

責任編輯：韓希宇