國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞254個，互聯網上出現“Tenda AC23命令注入漏洞、Faculty Evaluation System SQL注入漏洞（CNVD-2023-45448）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

(相關資料圖)

一周行業要聞速覽

警惕！這些都是電信詐騙套路

不輕信、不透露、不轉賬，不隨意點擊陌生鏈接，不隨意接聽陌生電話，要及時報案，切實保護好自己的財產安全。>>詳細

【消?！烤W絡游戲詐騙多，識別防范保安全

各位大朋友和小朋友們，我們要共同提高警惕，學習金融知識，了解騙子套路，提早識別預防，守護好家庭財富。>>詳細

【反洗錢宣傳月】遠離虛擬貨幣 增強風險意識

比特幣等虛擬貨幣交易炒作活動盛行，擾亂經濟金融秩序，滋生洗錢、非法集資、詐騙、傳銷等違法犯罪活動，嚴重危害人民群眾財產安全。 >>詳細

浦浦發發帶您巧識電信詐騙

提高風險防范意識，不要和陌生人開啟帶有“屏幕共享”功能的各類聊天軟件或會議APP，謹防上當受騙。>>詳細

“以案說險”丨警惕“AI換臉”新騙局！請收下這本《防范手冊》

請您時刻記得提醒身邊的親人、朋友了解各類金融詐騙套路的“新模式”“新技術”，加強風險防范意識，維護自身財產安全。>>詳細

防詐|高考結束后，要小心這些詐騙！

凡是涉及錢財，考生和家長一定要提高警惕，多方驗證。切勿點擊陌生鏈接，登錄相關網站時要通過官方認證的網址進入。>>詳細

天上不會掉餡餅 清醒理智幸福長

郵儲銀行安全提醒：不隨意泄露個人信息，不輕信高額理財回報。>>詳細

警惕征信修復騙局，保護個人征信安全

“征信” 是如實記錄您個人信用記錄的一個客觀記錄，原本就不存在“修復”一說，所謂的承諾，當然都是騙子啦。>>詳細

【守住錢袋子】個人金融信息安全

隨著大數據、移動互聯網和云計算等技術在金融領域的廣泛應用，以數據形式被記錄、儲存和處理的個人金融信息極易被不法分子利用，廣大消費者應妥善保管個人金融信息，防范金融風險，守住“錢袋子”。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年6月5日-11日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞254個，其中高危漏洞175個、中危漏洞68個、低危漏洞11個。漏洞平均分值為7.24。上周收錄的漏洞中，涉及0day漏洞206個（占81%），其中互聯網上出現“Tenda AC23命令注入漏洞、Faculty Evaluation System SQL注入漏洞（CNVD-2023-45448）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows DNS是美國微軟（Microsoft）公司的一個域名解析服務。域名系統（DNS）是包含TCP / IP的行業標準協議套件之一，并且DNS客戶端和DNS服務器共同為計算機和用戶提供計算機名稱到IP地址的映射名稱解析服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，遠程代碼執行。

CNVD收錄的相關漏洞包括：Microsoft Windows DNS遠程代碼執行漏洞（CNVD-2023-44299、CNVD-2023-44297、CNVD-2023-44298、CNVD-2023-44303、CNVD-2023-44302、CNVD-2023-44300、CNVD-2023-44304）、Microsoft Windows DNS信息泄露漏洞。其中，除“Microsoft Windows DNS信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是一套以Linux為基礎的開源操作系統。Google TensorFlow是一套用于機器學習的端到端開源平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面潛在地利用堆損壞，導致內存損壞，執行任意代碼或造成拒絕服務等。

CNVD收錄的相關漏洞包括：Google Chrome Navigation內存錯誤引用漏洞、Google Android資源管理錯誤漏洞（CNVD-2023-43880）、Google Android輸入驗證錯誤漏洞（CNVD-2023-43879）、Google Chrome類型混淆漏洞（CNVD-2023-43877）、Google Chrome緩沖區溢出漏洞（CNVD-2023-43887、CNVD-2023-43886、CNVD-2023-43885）、Google TensorFlow緩沖區溢出漏洞（CNVD-2023-43888）。其中，除“Google Android資源管理錯誤漏洞（CNVD-2023-43880）、Google Android輸入驗證錯誤漏洞（CNVD-2023-43879）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Substance 3D Stager是美國奧多比（Adobe）公司的一個虛擬3D工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Stager堆緩沖區溢出漏洞（CNVD-2023-43891、CNVD-2023-43895）、Adobe Substance 3D Stager越界寫入漏洞（CNVD-2023-43897、CNVD-2023-43893）、Adobe Substance 3D Stager內存錯誤引用漏洞、Adobe Substance 3D Stager越界讀取漏洞（CNVD-2023-43894、CNVD-2023-43899、CNVD-2023-43890）。上述漏洞的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

Rockwell Automation產品安全漏洞

Rockwell Automation ArmorStart ST是美國羅克韋爾（Rockwell Automation）公司的一種用于機旁控制架構的簡單而經濟實用的解決方案。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞注入惡意腳本或HTML代碼，當惡意數據被查看時，可獲取敏感信息或劫持用戶會話，查看和修改敏感數據或使網頁不可用等。

CNVD收錄的相關漏洞包括：Rockwell Automation ArmorStart ST跨站腳本漏洞（CNVD-2023-44289、CNVD-2023-44288、CNVD-2023-44293、CNVD-2023-44292、CNVD-2023-44291、CNVD-2023-44290、CNVD-2023-44296、CNVD-2023-44295）。其中，“Rockwell Automation ArmorStart ST跨站腳本漏洞（CNVD-2023-44292、CNVD-2023-44296）”的綜合評級為“高危”。目前，廠商已經發布了上述漏洞的修補程序。

ASUS RT-AC86U緩沖區溢出漏洞

ASUS RT-AC86U是中國華碩（ASUS）公司的一款雙頻Wi-Fi路由器。上周，ASUS RT-AC86U被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞執行任意系統命令、中斷系統或終止服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，遠程代碼執行。此外，Google、Adobe、Rockwell Automation等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行代碼，導致內存損壞或造成拒絕服務等。另外，ASUS RT-AC86U被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞執行任意系統命令、中斷系統或終止服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行杭州中支、郵儲銀行+、中國光大銀行、浦發銀行、興業銀行、錦州銀行、桂林銀行金融服務、廣東農信報道

責任編輯：韓希宇