国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞308个，互联网上出现“Tenda AC10堆栈缓冲区溢出漏洞、iKuai8命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

金融监管总局：加强第三方合作中网络和数据安全管理

(资料图)

部分银行保险机构的外包服务商发生多起安全风险事件，对银行保险机构的网络和数据安全、业务连续性造成一定影响，暴露出银行保险机构在外包服务管理上存在突出风险问题。>>详细

交行防诈攻略 教您识破新型AI骗局

近期，新型骗局AI诈骗爆发频繁，我们应该怎么办？别急，姣姣给您带来了一份最新的防诈指南，教您识破骗局，牢牢守好自己的“钱袋子”。>>详细

【谨防诈骗】银行催办企业账户年审？当心！这是诈骗！

请各单位组织企业员工，尤其是对财务人员进行宣传培训，建立健全财务管理规章制度，确保大额转账汇款前必须履行核查核实和审批程序。>>详细

上海农商银行举办“普及金融知识 守住钱袋子 护好幸福家”活动

近年来，上海农商银行始终坚持“金融为民”理念，以“集中性+阵地化”的多元教育模式，强化对“一老一少一新”等特殊群体的金融知识宣传。>>详细

小郑说消保 | 识别非法金融广告，远离非法金融陷阱

不法分子利用网络的便捷性，通过多种渠道投放非法金融广告，误导、诱骗金融消费者参与非法金融活动，造成了严重的后果。>>详细

【防范诈骗】警惕！你的钱包已被盯上！

正规贷款无需客户缴纳保证金，如要求提供保证金才能放款，一定是诈骗。>>详细

防范电信诈骗，警惕“征信修复”陷阱

互联网平台客服不会使用个人手机号或是其他非官方社交方式联系客户，接到这类电话一定要提高警惕并进行核实。>>详细

小课堂|ATM安全用卡指南

谨慎转账至陌生账户，如不慎已通过ATM跨行转账至诈骗分子账户，24小时内可及时拨打银行客服热线或至银行柜台申请撤销转账。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年6月19日-25日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞308个，其中高危漏洞207个、中危漏洞93个、低危漏洞8个。漏洞平均分值为7.05。上周收录的漏洞中，涉及0day漏洞241个（占78%），其中互联网上出现“Tenda AC10堆栈缓冲区溢出漏洞、iKuai8命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的数字商务解决方案。Adobe Premiere Rush是美国奥多比（Adobe）公司的一套跨平台的视频编辑软件。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Creative Cloud Desktop Application是美国奥多比（Adobe）公司的一套用于在Creative云会员管理中心管理应用程序和服务的应用程序。该程序支持同步和共享文件、管理字体以及访问商业摄影和设计的资产库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Adobe Commerce任意代码执行漏洞、Adobe Commerce安全绕过漏洞（CNVD-2023-50130）、Adobe Premiere Rush内存错误引用漏洞、Adobe Photoshop内存错误引用漏洞、Adobe Illustrator越界写入漏洞（CNVD-2023-50820、CNVD-2023-50822）、Adobe Illustrator代码执行漏洞（CNVD-2023-50821）、Adobe Creative Cloud Desktop Application代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码，造成拒绝服务（DoS）。

CNVD收录的相关漏洞包括：Foxit PDF Reader拒绝服务漏洞、Foxit PDF Reader资源管理错误漏洞（CNVD-2023-49833、CNVD-2023-49832、CNVD-2023-49836、CNVD-2023-49835、CNVD-2023-49834）、Foxit PDF Reader缓冲区溢出漏洞（CNVD-2023-49839、CNVD-2023-49838）。其中，除“Foxit PDF Reader拒绝服务漏洞、Foxit PDF Reader缓冲区溢出漏洞（CNVD-2023-49838）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Rockwell Automation产品安全漏洞

Rockwell Automation Kinetix 5500是美国罗克韦尔（Rockwell Automation）公司的第一款采用外部公共交流/直流总线连接系统设计的Kinetix驱动器。 它降低了硬件要求，并允许无缝扩展，对单轴或多轴系统使用单一平台。Rockwell Automation Arena Simulation Software是美国罗克韦尔（Rockwell Automation）公司的一套提供3D动画和图形功能的仿真软件。Rockwell Automation FactoryTalk Vantagepoint是美国罗克韦尔（Rockwell Automation）公司的在统一生产模型（UPM）中组织、关联和规范化制造和生产流程以及业务系统的不同数据的平台。Rockwell Automation ThinManager ThinServer是美国罗克韦尔（Rockwell Automation）公司的一款瘦客户端管理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过开放端口未经授权访问设备，远程执行任意代码，导致程序崩溃等。

CNVD收录的相关漏洞包括：Rockwell Automation Kinetix 5500访问控制错误漏洞、Rockwell Automation Arena Simulation Software缓冲区溢出漏洞（CNVD-2023-49823、CNVD-2023-49822、CNVD-2023-49821）、Rockwell Automation FactoryTalk Vantagepoint跨站请求伪造漏洞、Rockwell Automation ThinManager ThinServer路径遍历漏洞（CNVD-2023-49827、CNVD-2023-49826）、Rockwell Automation ThinManager ThinServer缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-50309、CNVD-2023-50310、CNVD-2023-50311、CNVD-2023-50829、CNVD-2023-50830）、Google Android拒绝服务漏洞（CNVD-2023-50826）、Google Android信息泄露漏洞（CNVD-2023-50827、CNVD-2023-50828）。其中，除“Google Android信息泄露漏洞（CNVD-2023-50827、CNVD-2023-50828）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-600命令注入漏洞

D-Link DIR-600是中国友讯（D-Link）公司的一款无线路由器。上周，D-Link DIR-600被披露存在命令注入漏洞。该漏洞源于lxmldbc_system()函数中的ST参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，在系统上执行任意代码。此外，Foxit、Rockwell Automation、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过开放端口未经授权访问设备，获取敏感信息，提升权限，在当前进程的上下文中执行代码，造成拒绝服务等。另外，D-Link DIR-600被披露存在命令注入漏洞，攻击者可利用此漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、交通银行、郑州银行、甘肃银行、桂林银行金融服务、i上农商行、广州农村商业银行、广东农信报道

责任编辑：韩希宇

关键词：