國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞352個，互聯網上出現“TOTOLINK A3002R緩沖區溢出漏洞、PortlandLabs Concrete CMS SEO-Extra功能跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國農業銀行“農情消?！睌底只箯d上線了！

“農情消?！睌底只箯d以“三館二廳”為主線脈絡，設置求知廳、影視廳、圖書館、文化館、地方館五大模塊，針對老年人、青少年、新市民和特殊群體等不同的消費者，提供差異化的金融知識教育服務。>>詳細

“代理退息”中介涉嫌敲詐勒索被刑拘 招行信用卡協助警方重拳打擊金融“黑灰產”

以招商銀行信用卡為代表的金融機構，憑借大數據監測等核心風控技術，通過與監管、公檢法等部門密切合作，始終奮戰在打擊“黑灰產”的前線，取得了顯著成效。>>詳細

共筑支付安全防線 中國銀聯“反詐拒賭校園行”活動走進復旦大學

銀聯立足銀行卡清算機構職能，深入踐行“支付為民”理念，通過不斷提升風控能力，加強警銀協作和產業聯防聯控，努力守護老百姓的“錢袋子”，助推創建“無詐無賭”的平安校園。>>詳細

“以案說險” | 防范“高息理財”騙局，勿受“保本高息”引誘

提高風險防范意識，勿信非法金融廣告。對于所謂“低風險”甚至“無風險”、高收益的金融產品，要提高警惕、加強甄別。>>詳細

【防騙】防范身邊詐騙誘餌，小心上鉤！

一張小小的銀行卡，辦一張不用花一分錢，借給別人還能不費吹灰之力賺錢。請不要相信這種“天上掉餡餅”的好事。>>詳細

網絡交易安全小課堂

由于部分中小網站安全防護能力較弱，容易遭到黑客攻擊，該網站注冊用戶的用戶名和密碼便因此泄露。如網站用戶設置了與銀行卡賬戶相同的用戶名和密碼，則極易發生銀行卡(賬戶)賬戶資金盜用。>>詳細

反詐專欄 | 警惕！“數字人民幣”詐騙新套路

不要進入來源不明的“數幣鏈接”，不要在來源不明的頁面中填寫任何個人信息，更不要操作轉賬。>>詳細

漫說·金融消費者八大權益

保護好自己身份證、銀行卡等身份證件，謹防個人信息泄露，金融機構有責任保障金融消費者的信息安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年10月9日-15日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞352個，其中高危漏洞177個、中危漏洞159個、低危漏洞16個。漏洞平均分值為6.48。上周收錄的漏洞中，涉及0day漏洞276個（占78%），其中互聯網上出現“TOTOLINK A3002R緩沖區溢出漏洞、PortlandLabs Concrete CMS SEO-Extra功能跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上運行任意代碼。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-75536、CNVD-2023-75537、CNVD-2023-75539、CNVD-2023-75540、CNVD-2023-75541、CNVD-2023-75543、CNVD-2023-75544）、Google Android代碼執行漏洞（CNVD-2023-75542）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft 3D Viewer是美國微軟（Microsoft）公司的一款簡化且快速的圖形編輯應用程序。Microsoft 3D Builder是微軟公司的一款創建模型和3D打印的工具。Microsoft Azure是美國微軟（Microsoft）公司的一套開放的企業級云計算平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取域管理員權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft 3D Viewer遠程代碼執行漏洞（CNVD-2023-74906、CNVD-2023-74905、CNVD-2023-74904）、Microsoft 3D Builder遠程代碼執行漏洞（CNVD-2023-74907、CNVD-2023-74910、CNVD-2023-74909、CNVD-2023-74908）、Microsoft Azure HDInsight Apache Ambari權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。Mozilla Firefox ESR是美國Mozilla基金會的Firefox（Web瀏覽器）的一個延長支持版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，使應用程序崩潰等。

CNVD收錄的相關漏洞包括：Mozilla Firefox內存錯誤引用漏洞（CNVD-2023-75343）、Mozilla Thunderbird和Firefox拒絕服務漏洞、Mozilla Firefox ESR代碼問題漏洞（CNVD-2023-75346）、Mozilla Firefox代碼問題漏洞（CNVD-2023-75344）、Mozilla Firefox整數溢出漏洞（CNVD-2023-75351）、Mozilla Firefox遠程代碼執行漏洞、Mozilla Firefox內存破壞漏洞（CNVD-2023-75349）、Mozilla Firefox資源操作不當漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens Parasolid是一種三維幾何建模工具，支持各種技術，包括實體建模、直接編輯和自由曲面/圖紙建模。Siemens Tecnomatix Plant Simulation是德國西門子（Siemens）公司的一個工控設備。利用離散事件仿真的功能進行生產量分析和優化，進而改善制造系統性能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Siemens Parasolid堆棧緩沖區溢出漏洞、Siemens Tecnomatix Plant Simulation越界讀取漏洞（CNVD-2023-75582、CNVD-2023-75581、CNVD-2023-75583、CNVD-2023-75584）、Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2023-75585、CNVD-2023-75586、CNVD-2023-75587）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Open5GS訪問控制錯誤漏洞

Open5GS是一個5G Core和Epc的C語言開源實現，即Lte/Nr網絡的核心網絡。上周，Open5GS被披露存在訪問控制錯誤漏洞。攻擊者可利用該漏洞向Open5GS端點發送HTTP請求，并檢索存儲在設備上的信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上運行任意代碼。此外，Microsoft、Mozilla、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取域管理員權限，在當前進程的上下文中執行代碼，使應用程序崩潰等。另外，Open5GS被披露存在訪問控制錯誤漏洞。攻擊者可利用該漏洞向Open5GS端點發送HTTP請求，并檢索存儲在設備上的信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、中國銀聯、中國農業銀行、中國光大銀行、浦發銀行、興業銀行、恒豐銀行總行、張家口銀行報道

責任編輯：韓希宇