國(guó)家信息安全漏洞共享平臺(tái)上周共收集、整理信息安全漏洞301個(gè)，互聯(lián)網(wǎng)上出現(xiàn)“JeeCMS跨站腳本漏洞（CNVD-2023-17600）、WUZHI CMS跨站腳本漏洞（CNVD-2023-17601）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為高。中國(guó)電子銀行網(wǎng)為您梳理過(guò)去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識(shí)。

一周行業(yè)要聞速覽

(相關(guān)資料圖)

當(dāng)AI科技照進(jìn)現(xiàn)實(shí) 安全問(wèn)題不容忽視

風(fēng)口已至，計(jì)算浪潮奔涌而來(lái)，在前景向好的大背景下，關(guān)口前移，建立數(shù)據(jù)安全防護(hù)墻也至關(guān)重要。>>詳細(xì)

中信銀行反詐“哨兵”，幸福財(cái)富信守安全

“哨兵”智能反欺詐系統(tǒng)，通過(guò)在欺詐交易關(guān)鍵鏈路上引入公安、社交、電信等外部風(fēng)險(xiǎn)信息，利用機(jī)器學(xué)習(xí)和大數(shù)據(jù)技術(shù)，實(shí)現(xiàn)風(fēng)控策略的動(dòng)態(tài)調(diào)整，管控措施的梯度化和精準(zhǔn)化，強(qiáng)化反詐預(yù)警能力與勸阻機(jī)制。>>詳細(xì)

消保專(zhuān)欄 | 工行助力百姓守好“錢(qián)袋子”

近期，工商銀行精心開(kāi)展了一系列形式多樣的金融知識(shí)宣傳普及活動(dòng)。>>詳細(xì)

遠(yuǎn)離詐騙 | 借貸轉(zhuǎn)賬？客戶(hù)慌忙趕來(lái)辦理業(yè)務(wù)，交行員工發(fā)現(xiàn)暗藏的騙局......

經(jīng)過(guò)工作人員的勸說(shuō)引導(dǎo)，客戶(hù)明白自己遇到了詐騙。為避免其資金損失，經(jīng)客戶(hù)同意后，工作人員對(duì)其名下賬戶(hù)進(jìn)行了掛失處理，保障了銀行卡的資金安全。>>詳細(xì)

騙術(shù)千千萬(wàn) 防騙留心眼 | 杭州銀行成功堵截三起詐騙事件

為防止其他人員被騙，銀行工作人員立即聯(lián)系了反詐中心和人行麗水市中心支行反詐人員，將情況反饋后，反詐中心立即對(duì)賬戶(hù)進(jìn)行了止付。>>詳細(xì)

每一步，平安路！平安銀行開(kāi)展3·15金融知識(shí)普及活動(dòng)

平安銀行行長(zhǎng)胡躍飛、行長(zhǎng)特別助理蔡新發(fā)、行長(zhǎng)助理孫芳滔、消費(fèi)者權(quán)益保護(hù)中心主任顏恒、副主任樊麗等領(lǐng)導(dǎo)帶頭掛帥組團(tuán)，化身“微光點(diǎn)亮者”，在線號(hào)召全行員工和金融消費(fèi)者們通過(guò)線上、線下多種形式參與金融公益，在全國(guó)范圍內(nèi)健全和擴(kuò)展金融宣教長(zhǎng)效合作關(guān)系，一起放飛金融夢(mèng)想，點(diǎn)亮消保微光！>>詳細(xì)

場(chǎng)景金融時(shí)代 如何筑牢商業(yè)銀行API安全防線？

為提高商業(yè)銀行應(yīng)用程序接口檢測(cè)效率，CFCA自主研發(fā)“CFCA開(kāi)放銀行應(yīng)用程序接口檢測(cè)平臺(tái)”。平臺(tái)可在線開(kāi)展API接口安全檢測(cè)，實(shí)現(xiàn)一定程度的應(yīng)用程序接口自動(dòng)化檢測(cè)，多方面驗(yàn)證API安全水平。>>詳細(xì)

【反詐】銀行卡突然收到一筆錢(qián)？千萬(wàn)別急著這樣做

請(qǐng)廣大市民妥善保管好自己的銀行卡、手機(jī)卡(包括具備支付結(jié)算功能的賬戶(hù))，切勿貪圖小利出售、出租、出借銀行卡、電話(huà)卡，否則極易成為犯罪分子的“幫兇”并受到法律的嚴(yán)厲懲處。>>詳細(xì)

【以案說(shuō)險(xiǎn)】現(xiàn)金換微信零錢(qián)嗎？且慢！已有人上當(dāng)！

來(lái)源不明的二維碼千萬(wàn)不要掃，不然很可能被不法分子利用，導(dǎo)致個(gè)人機(jī)密信息被竊取，甚至造成巨大財(cái)產(chǎn)損失，一旦發(fā)現(xiàn)上當(dāng)受騙，請(qǐng)立刻報(bào)警！>>詳細(xì)

安全威脅播報(bào)

上周漏洞基本情況

上周（2023年3月13日-19日）信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為高。國(guó)家信息安全漏洞共享平臺(tái)（以下簡(jiǎn)稱(chēng)CNVD）上周共收集、整理信息安全漏洞301個(gè)，其中高危漏洞192個(gè)、中危漏洞98個(gè)、低危漏洞11個(gè)。漏洞平均分值為7.44。上周收錄的漏洞中，涉及0day漏洞179個(gè)（占59%），其中互聯(lián)網(wǎng)上出現(xiàn)“JeeCMS跨站腳本漏洞（CNVD-2023-17600）、WUZHI CMS跨站腳本漏洞（CNVD-2023-17601）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產(chǎn)品安全漏洞

Google Chrome是美國(guó)谷歌（Google）公司的一款Web瀏覽器。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞通過(guò)精心制作的HTML頁(yè)面從進(jìn)程內(nèi)存中獲取潛在的敏感信息，通過(guò)特制的HTML頁(yè)面導(dǎo)致堆損壞等。

CNVD收錄的相關(guān)漏洞包括：Google Chrome DevTools組件類(lèi)型混肴漏洞、Google Chrome Crash reporting組件緩沖區(qū)溢出漏洞、Google Chrome Core資源管理錯(cuò)誤漏洞、Google Chrome Autofill組件代碼問(wèn)題漏洞、Google Chrome V8類(lèi)型混淆漏洞（CNVD-2023-17527）、Google Chrome UMA組件緩沖區(qū)溢出漏洞（CNVD-2023-17526）、Google Chrome DevTools資源管理錯(cuò)誤漏洞（CNVD-2023-17525）、Google Chrome Web Audio API組件緩沖區(qū)溢出漏洞。其中，除“Google Chrome Autofill組件代碼問(wèn)題漏洞”外其余漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

D-Link產(chǎn)品安全漏洞

D-Link DIR-605L是中國(guó)D-Link公司的一款無(wú)線路由器。上周，上述產(chǎn)品被披露存在緩沖區(qū)溢出漏洞，攻擊者可利用漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行或服務(wù)中斷。

CNVD收錄的相關(guān)漏洞包括：D-Link DIR-605L緩沖區(qū)溢出漏洞（CNVD-2023-17668、CNVD-2023-17667、CNVD-2023-17666、CNVD-2023-17670、CNVD-2023-17669、CNVD-2023-17673、CNVD-2023-17672、CNVD-2023-17671）。上述漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Adobe產(chǎn)品安全漏洞

Adobe Bridge是美國(guó)奧多比（Adobe）公司的一款文件查看器。Adobe Photoshop是美國(guó)奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Premiere Rush是美國(guó)奧多比（Adobe）公司的一套跨平臺(tái)的視頻編輯軟件。Adobe After Effects是美國(guó)奧多比（Adobe）公司的一套視覺(jué)效果和動(dòng)態(tài)圖形制作軟件。該軟件主要用于2D和3D合成、動(dòng)畫(huà)制作和視覺(jué)特效制作等。Adobe Animate是美國(guó)奧多比（Adobe）公司的一套Flash動(dòng)畫(huà)制作軟件。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞導(dǎo)致敏感內(nèi)存泄露，在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼等。

CNVD收錄的相關(guān)漏洞包括：Adobe Bridge堆緩沖區(qū)溢出漏洞（CNVD-2023-17020、CNVD-2023-17019）、Adobe Bridge越界讀取漏洞（CNVD-2023-17018）、Adobe Photoshop輸入驗(yàn)證錯(cuò)誤漏洞（CNVD-2023-17021）、Adobe Photoshop越界寫(xiě)入漏洞（CNVD-2023-17022）、Adobe Premiere Rush堆棧緩沖區(qū)溢出漏洞、Adobe After Effects越界讀取漏洞（CNVD-2023-17024）、Adobe Animate內(nèi)存錯(cuò)誤引用漏洞。除“Adobe Bridge越界讀取漏洞（CNVD-2023-17018）、Adobe After Effects越界讀取漏洞（CNVD-2023-17024）”外其余漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Mozilla產(chǎn)品安全漏洞

Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開(kāi)源Web瀏覽器。Mozilla PollBot是Mozilla基金會(huì)的一個(gè)微服務(wù)。將人類(lèi)從Firefox發(fā)布過(guò)程中的狀態(tài)輪詢(xún)這一繁重任務(wù)中解放出來(lái)。上周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞將任何人重定向到惡意站點(diǎn)，繞過(guò)已實(shí)施的安全限制在受害者的瀏覽器中執(zhí)行任意JavaScript代碼，通過(guò)使程序在當(dāng)前目錄中搜索系統(tǒng)庫(kù)提升權(quán)限等。

CNVD收錄的相關(guān)漏洞包括：Mozilla Firefox競(jìng)爭(zhēng)條件問(wèn)題漏洞（CNVD-2023-17319）、Mozilla Firefox權(quán)限提升漏洞（CNVD-2023-17318）、Mozilla PollBot開(kāi)放重定向漏洞、Mozilla Firefox資源管理錯(cuò)誤漏洞（CNVD-2023-17321、CNVD-2023-17323）、Mozilla Firefox緩沖區(qū)溢出漏洞（CNVD-2023-17324）、Mozilla Firefox安全特征問(wèn)題漏洞（CNVD-2023-17322、CNVD-2023-17320）。其中，除“Mozilla Firefox權(quán)限提升漏洞（CNVD-2023-17318）、Mozilla PollBot開(kāi)放重定向漏洞”外其余漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Advantech iView SQL注入漏洞（CNVD-2023-16475）

Advantech iView是中國(guó)Advantech公司的一個(gè)基于簡(jiǎn)單網(wǎng)絡(luò)協(xié)議（SNMP）來(lái)對(duì)B + B SmartWorx設(shè)備進(jìn)行管理的軟件。上周，Advantech iView 5.7.04.6469之前版本被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。

小結(jié)

上周，Google產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞通過(guò)精心制作的HTML頁(yè)面從進(jìn)程內(nèi)存中獲取潛在的敏感信息，通過(guò)特制的HTML頁(yè)面導(dǎo)致堆損壞等等。此外，D-Link、Adobe、Mozilla等多款產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行或服務(wù)中斷，將任何人重定向到惡意站點(diǎn)，繞過(guò)已實(shí)施的安全限制在受害者的瀏覽器中執(zhí)行任意JavaScript代碼，通過(guò)使程序在當(dāng)前目錄中搜索系統(tǒng)庫(kù)提升權(quán)限。另外，Advantech iView被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。建議相關(guān)用戶(hù)隨時(shí)關(guān)注上述廠商主頁(yè)，及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。

中國(guó)電子銀行網(wǎng)綜合CNVD、新華網(wǎng)、證券日?qǐng)?bào)、中國(guó)工商銀行、交通銀行、中信銀行微生活、杭州銀行微訊、貴陽(yáng)銀行、廣州農(nóng)村商業(yè)銀行報(bào)道

關(guān)鍵詞：