國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞517個，互聯網上出現“Yifan YF325 cgi_handler函數緩沖區溢出漏洞、Yifan YF325 gozila_cgi函數緩沖區溢出漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融反詐“新春畫像”：帆布包與紅綠燈上的“防詐秘籍”

隨著科技的飛速發展，金融詐騙手法日益翻新，各類騙術防不勝防，給投資者的財產安全帶來了極大威脅。>>詳細

筑牢反詐“防火墻” 守好群眾“錢袋子”

屬地警方高度重視，迅速抵達網點，經問訊了解后，將該兩名人員帶走，隨后根據該線索成功打掉1個涉詐團伙。>>詳細

正確合規用卡 保障支付安全

銀行卡的用卡常識覆蓋多個方面，包括辦卡安全、支付安全、資金安全、個人信息安全、征信安全等常識。>>詳細

反詐專欄 | 尊敬的企業主，這些您需要知道！

恒豐銀行收集典型企業電信詐騙案例，邀您識別詐騙套路，讓騙子無處遁形！>>詳細

反詐進行時｜精準研判 積極協作 成功截留百萬涉案資金

總行風控人員根據經驗遠程指導網點頂住客戶投訴壓力并立即聯系屬地反詐中心，最終成功截留涉詐資金109萬元，有效協助該案件取得重大突破、資金順利返還至33位被害人。>>詳細

【消保黔行】遠離非法集資，共度幸福新年

犯罪分子詭計多端，投資理財要擦亮眼睛，切實增強風險防范意識，自覺遠離非法集資！>>詳細

【金融安全】警惕不法貸款中介誘導消費者違規轉貸

近期一些不法中介發掘“商機”，向消費者推介房貸轉經營貸，宣稱可以“轉貸降息”，誘導消費者使用中介過橋資金結清房貸，再到銀行辦理經營貸歸還過橋資金。>>詳細

【知識】春節期間，這幾點千萬注意！捂住錢袋子，不給詐騙分子可乘之機！

在相關網站輸入賬號、手機號、密碼等重要信息前要謹慎核實域名真實性，不點擊可疑鏈接，不掃描不明二維碼，謹防釣魚陷阱。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年2月5日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞517個，其中高危漏洞188個、中危漏洞305個、低危漏洞24個。漏洞平均分值為6.16。上周收錄的漏洞中，涉及0day漏洞438個（占85%），其中互聯網上出現“Yifan YF325 cgi_handler函數緩沖區溢出漏洞、Yifan YF325 gozila_cgi函數緩沖區溢出漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM Tivoli Application Dependency Discovery Manager（TADDM）是美國國際商業機器（IBM）公司的一套IT服務管理解決方案中的產品。該產品提供了健全的自動化應用程序映射和發現，幫助管理員了解業務應用程序的結構、狀態、配置和變更歷史記錄。IBM Security Access Manager是一款應用于信息安全管理的產品。該產品通過面向Web、移動和云計算的集成設備來實現訪問管理控制。IBM Cloud Pak System是一套具有可配置、預集成軟件的全棧、融合基礎架構。該產品支持跨混合云部署、管理和移動應用程序環境。IBM Tivoli Application Dependency Discovery Manager（TADDM）是一套IT服務管理解決方案中的產品。該產品提供了健全的自動化應用程序映射和發現，幫助管理員了解業務應用程序的結構、狀態、配置和變更歷史記錄。IBM Security Verify Access（ISAM）是一款提高用戶訪問安全的服務。該服務通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯合以及移動多因子認證實現對Web、移動、IoT和云技術等平臺安全簡單的訪問。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，消耗內存資源，提升權限等。

CNVD收錄的相關漏洞包括：IBM Tivoli Application Dependency Discovery Manager權限提升漏洞、IBM Security Access Manager未授權訪問漏洞、IBM Cloud Pak System信息泄露漏洞（CNVD-2024-07607）、IBM Tivoli Application Dependency Discovery Manager HTTP頭部注入漏洞、IBM Security Verify Access權限提升漏洞、IBM Security Verify Access拒絕服務漏洞、IBM Security Access Manager數據偽造問題漏洞、IBM Security Access Manager XML外部實體注入漏洞。其中，“IBM Security Access Manager未授權訪問漏洞、IBM Cloud Pak System信息泄露漏洞（CNVD-2024-07607）、IBM Tivoli Application Dependency Discovery Manager HTTP頭部注入漏洞、IBM Security Access Manager XML外部實體注入漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，在系統上執行任意代碼，獲得提升的特權等。

CNVD收錄的相關漏洞包括：Google Chrome安全繞過漏洞（CNVD-2024-07840）、Google Chrome Canvas模塊內存錯誤引用漏洞、Google Chrome Network模塊內存錯誤引用漏洞、Google Chrome WebRTC模塊內存錯誤引用漏洞、Google Chrome Reading Mode模塊內存錯誤引用漏洞、Google Chrome Passwords模塊內存錯誤引用漏洞、Google Chrome Web Audio模塊內存錯誤引用漏洞、Google Android權限提升漏洞（CNVD-2024-07854）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致cgroup blkio內存泄漏，系統崩潰，提升權限等。

CNVD收錄的相關漏洞包括：Linux Kernel資源管理錯誤漏洞（CNVD-2024-08096、CNVD-2024-08091、CNVD-2024-08094、CNVD-2024-08093）、Linux kernel拒絕服務漏洞（CNVD-2024-08090）、Linux kernel代碼問題漏洞（CNVD-2024-08095、CNVD-2024-08087）、Linux Kernel ksmbd SMB2_SESSION_SETUP拒絕服務漏洞。其中，“Linux Kernel ksmbd SMB2_SESSION_SETUP拒絕服務漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Edge是美國微軟（Microsoft）公司的一款Windows 10之后版本系統附帶的Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，在系統上獲得提升的權限等 。

CNVD收錄的相關漏洞包括：Microsoft Edge for Android欺騙漏洞、Microsoft Edge for Android信息泄露漏洞、Microsoft Edge (Chromium-based)安全繞過漏洞、Microsoft Edge (Chromium-based)信息泄露漏洞（CNVD-2024-07804、CNVD-2024-07803）、Microsoft Edge (Chromium-based)權限提升漏洞（CNVD-2024-07816、CNVD-2024-07817、CNVD-2024-07793）。其中，“Microsoft Edge (Chromium-based)安全繞過漏洞、Microsoft Edge (Chromium-based)權限提升漏洞（CNVD-2024-07816、CNVD-2024-07817）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TOTOLINK EX1800T lanIp參數命令執行漏洞

TOTOLINK EX1800T是中國吉翁電子（TOTOLINK）公司的一款Wi-Fi范圍擴展器。上周，TOTOLINK EX1800T被披露存在命令執行漏洞。攻擊者可利用此漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，消耗內存資源，提升權限等。此外，Google、Linux、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，在系統上執行任意代碼，獲得提升的特權等。另外，TOTOLINK EX1800T被披露存在命令執行漏洞。攻擊者可利用此漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、證券日報、中國民生銀行股份有限公司、平安銀行、恒豐銀行總行、杭州銀行微訊、貴州銀行、廣西北部灣銀行微生活、江西轄內農商銀行微銀行報道

責任編輯：韓希宇