國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞301個，互聯(lián)網(wǎng)上出現(xiàn)“JeeCMS跨站腳本漏洞（CNVD-2023-17600）、WUZHI CMS跨站腳本漏洞（CNVD-2023-17601）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為高。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識。

一周行業(yè)要聞速覽

(相關資料圖)

當AI科技照進現(xiàn)實 安全問題不容忽視

風口已至，計算浪潮奔涌而來，在前景向好的大背景下，關口前移，建立數(shù)據(jù)安全防護墻也至關重要。>>詳細

中信銀行反詐“哨兵”，幸福財富信守安全

“哨兵”智能反欺詐系統(tǒng)，通過在欺詐交易關鍵鏈路上引入公安、社交、電信等外部風險信息，利用機器學習和大數(shù)據(jù)技術，實現(xiàn)風控策略的動態(tài)調(diào)整，管控措施的梯度化和精準化，強化反詐預警能力與勸阻機制。>>詳細

消保專欄 | 工行助力百姓守好“錢袋子”

近期，工商銀行精心開展了一系列形式多樣的金融知識宣傳普及活動。>>詳細

遠離詐騙 | 借貸轉(zhuǎn)賬？客戶慌忙趕來辦理業(yè)務，交行員工發(fā)現(xiàn)暗藏的騙局......

經(jīng)過工作人員的勸說引導，客戶明白自己遇到了詐騙。為避免其資金損失，經(jīng)客戶同意后，工作人員對其名下賬戶進行了掛失處理，保障了銀行卡的資金安全。>>詳細

騙術千千萬 防騙留心眼 | 杭州銀行成功堵截三起詐騙事件

為防止其他人員被騙，銀行工作人員立即聯(lián)系了反詐中心和人行麗水市中心支行反詐人員，將情況反饋后，反詐中心立即對賬戶進行了止付。>>詳細

每一步，平安路！平安銀行開展3·15金融知識普及活動

平安銀行行長胡躍飛、行長特別助理蔡新發(fā)、行長助理孫芳滔、消費者權益保護中心主任顏恒、副主任樊麗等領導帶頭掛帥組團，化身“微光點亮者”，在線號召全行員工和金融消費者們通過線上、線下多種形式參與金融公益，在全國范圍內(nèi)健全和擴展金融宣教長效合作關系，一起放飛金融夢想，點亮消保微光！>>詳細

場景金融時代 如何筑牢商業(yè)銀行API安全防線？

為提高商業(yè)銀行應用程序接口檢測效率，CFCA自主研發(fā)“CFCA開放銀行應用程序接口檢測平臺”。平臺可在線開展API接口安全檢測，實現(xiàn)一定程度的應用程序接口自動化檢測，多方面驗證API安全水平。>>詳細

【反詐】銀行卡突然收到一筆錢？千萬別急著這樣做

請廣大市民妥善保管好自己的銀行卡、手機卡(包括具備支付結(jié)算功能的賬戶)，切勿貪圖小利出售、出租、出借銀行卡、電話卡，否則極易成為犯罪分子的“幫兇”并受到法律的嚴厲懲處。>>詳細

【以案說險】現(xiàn)金換微信零錢嗎？且慢！已有人上當！

來源不明的二維碼千萬不要掃，不然很可能被不法分子利用，導致個人機密信息被竊取，甚至造成巨大財產(chǎn)損失，一旦發(fā)現(xiàn)上當受騙，請立刻報警！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年3月13日-19日）信息安全漏洞威脅整體評價級別為高。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞301個，其中高危漏洞192個、中危漏洞98個、低危漏洞11個。漏洞平均分值為7.44。上周收錄的漏洞中，涉及0day漏洞179個（占59%），其中互聯(lián)網(wǎng)上出現(xiàn)“JeeCMS跨站腳本漏洞（CNVD-2023-17600）、WUZHI CMS跨站腳本漏洞（CNVD-2023-17601）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產(chǎn)品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面從進程內(nèi)存中獲取潛在的敏感信息，通過特制的HTML頁面導致堆損壞等。

CNVD收錄的相關漏洞包括：Google Chrome DevTools組件類型混肴漏洞、Google Chrome Crash reporting組件緩沖區(qū)溢出漏洞、Google Chrome Core資源管理錯誤漏洞、Google Chrome Autofill組件代碼問題漏洞、Google Chrome V8類型混淆漏洞（CNVD-2023-17527）、Google Chrome UMA組件緩沖區(qū)溢出漏洞（CNVD-2023-17526）、Google Chrome DevTools資源管理錯誤漏洞（CNVD-2023-17525）、Google Chrome Web Audio API組件緩沖區(qū)溢出漏洞。其中，除“Google Chrome Autofill組件代碼問題漏洞”外其余漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

D-Link產(chǎn)品安全漏洞

D-Link DIR-605L是中國D-Link公司的一款無線路由器。上周，上述產(chǎn)品被披露存在緩沖區(qū)溢出漏洞，攻擊者可利用漏洞導致遠程代碼執(zhí)行或服務中斷。

CNVD收錄的相關漏洞包括：D-Link DIR-605L緩沖區(qū)溢出漏洞（CNVD-2023-17668、CNVD-2023-17667、CNVD-2023-17666、CNVD-2023-17670、CNVD-2023-17669、CNVD-2023-17673、CNVD-2023-17672、CNVD-2023-17671）。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Adobe產(chǎn)品安全漏洞

Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Premiere Rush是美國奧多比（Adobe）公司的一套跨平臺的視頻編輯軟件。Adobe After Effects是美國奧多比（Adobe）公司的一套視覺效果和動態(tài)圖形制作軟件。該軟件主要用于2D和3D合成、動畫制作和視覺特效制作等。Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導致敏感內(nèi)存泄露，在當前用戶的上下文中執(zhí)行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Bridge堆緩沖區(qū)溢出漏洞（CNVD-2023-17020、CNVD-2023-17019）、Adobe Bridge越界讀取漏洞（CNVD-2023-17018）、Adobe Photoshop輸入驗證錯誤漏洞（CNVD-2023-17021）、Adobe Photoshop越界寫入漏洞（CNVD-2023-17022）、Adobe Premiere Rush堆棧緩沖區(qū)溢出漏洞、Adobe After Effects越界讀取漏洞（CNVD-2023-17024）、Adobe Animate內(nèi)存錯誤引用漏洞。除“Adobe Bridge越界讀取漏洞（CNVD-2023-17018）、Adobe After Effects越界讀取漏洞（CNVD-2023-17024）”外其余漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Mozilla產(chǎn)品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla PollBot是Mozilla基金會的一個微服務。將人類從Firefox發(fā)布過程中的狀態(tài)輪詢這一繁重任務中解放出來。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞將任何人重定向到惡意站點，繞過已實施的安全限制在受害者的瀏覽器中執(zhí)行任意JavaScript代碼，通過使程序在當前目錄中搜索系統(tǒng)庫提升權限等。

CNVD收錄的相關漏洞包括：Mozilla Firefox競爭條件問題漏洞（CNVD-2023-17319）、Mozilla Firefox權限提升漏洞（CNVD-2023-17318）、Mozilla PollBot開放重定向漏洞、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-17321、CNVD-2023-17323）、Mozilla Firefox緩沖區(qū)溢出漏洞（CNVD-2023-17324）、Mozilla Firefox安全特征問題漏洞（CNVD-2023-17322、CNVD-2023-17320）。其中，除“Mozilla Firefox權限提升漏洞（CNVD-2023-17318）、Mozilla PollBot開放重定向漏洞”外其余漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。

Advantech iView SQL注入漏洞（CNVD-2023-16475）

Advantech iView是中國Advantech公司的一個基于簡單網(wǎng)絡協(xié)議（SNMP）來對B + B SmartWorx設備進行管理的軟件。上周，Advantech iView 5.7.04.6469之前版本被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。目前，廠商尚未發(fā)布上述漏洞的修補程序。

小結(jié)

上周，Google產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面從進程內(nèi)存中獲取潛在的敏感信息，通過特制的HTML頁面導致堆損壞等等。此外，D-Link、Adobe、Mozilla等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導致遠程代碼執(zhí)行或服務中斷，將任何人重定向到惡意站點，繞過已實施的安全限制在受害者的瀏覽器中執(zhí)行任意JavaScript代碼，通過使程序在當前目錄中搜索系統(tǒng)庫提升權限。另外，Advantech iView被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網(wǎng)綜合CNVD、新華網(wǎng)、證券日報、中國工商銀行、交通銀行、中信銀行微生活、杭州銀行微訊、貴陽銀行、廣州農(nóng)村商業(yè)銀行報道

關鍵詞：