國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞254個，互聯(lián)網(wǎng)上出現(xiàn)“Tenda AC23命令注入漏洞、Faculty Evaluation System SQL注入漏洞（CNVD-2023-45448）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網(wǎng)為您梳理過去一周的信息安全行業(yè)要聞并告警重要漏洞，深入探討信息安全知識。

(相關(guān)資料圖)

一周行業(yè)要聞速覽

警惕！這些都是電信詐騙套路

不輕信、不透露、不轉(zhuǎn)賬，不隨意點(diǎn)擊陌生鏈接，不隨意接聽陌生電話，要及時報案，切實(shí)保護(hù)好自己的財產(chǎn)安全。>>詳細(xì)

【消保】網(wǎng)絡(luò)游戲詐騙多，識別防范保安全

各位大朋友和小朋友們，我們要共同提高警惕，學(xué)習(xí)金融知識，了解騙子套路，提早識別預(yù)防，守護(hù)好家庭財富。>>詳細(xì)

【反洗錢宣傳月】遠(yuǎn)離虛擬貨幣 增強(qiáng)風(fēng)險意識

比特幣等虛擬貨幣交易炒作活動盛行，擾亂經(jīng)濟(jì)金融秩序，滋生洗錢、非法集資、詐騙、傳銷等違法犯罪活動，嚴(yán)重危害人民群眾財產(chǎn)安全。 >>詳細(xì)

浦浦發(fā)發(fā)帶您巧識電信詐騙

提高風(fēng)險防范意識，不要和陌生人開啟帶有“屏幕共享”功能的各類聊天軟件或會議APP，謹(jǐn)防上當(dāng)受騙。>>詳細(xì)

“以案說險”丨警惕“AI換臉”新騙局！請收下這本《防范手冊》

請您時刻記得提醒身邊的親人、朋友了解各類金融詐騙套路的“新模式”“新技術(shù)”，加強(qiáng)風(fēng)險防范意識，維護(hù)自身財產(chǎn)安全。>>詳細(xì)

防詐|高考結(jié)束后，要小心這些詐騙！

凡是涉及錢財，考生和家長一定要提高警惕，多方驗(yàn)證。切勿點(diǎn)擊陌生鏈接，登錄相關(guān)網(wǎng)站時要通過官方認(rèn)證的網(wǎng)址進(jìn)入。>>詳細(xì)

天上不會掉餡餅 清醒理智幸福長

郵儲銀行安全提醒：不隨意泄露個人信息，不輕信高額理財回報。>>詳細(xì)

警惕征信修復(fù)騙局，保護(hù)個人征信安全

“征信” 是如實(shí)記錄您個人信用記錄的一個客觀記錄，原本就不存在“修復(fù)”一說，所謂的承諾，當(dāng)然都是騙子啦。>>詳細(xì)

【守住錢袋子】個人金融信息安全

隨著大數(shù)據(jù)、移動互聯(lián)網(wǎng)和云計算等技術(shù)在金融領(lǐng)域的廣泛應(yīng)用，以數(shù)據(jù)形式被記錄、儲存和處理的個人金融信息極易被不法分子利用，廣大消費(fèi)者應(yīng)妥善保管個人金融信息，防范金融風(fēng)險，守住“錢袋子”。>>詳細(xì)

安全威脅播報

上周漏洞基本情況

上周（2023年6月5日-11日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞254個，其中高危漏洞175個、中危漏洞68個、低危漏洞11個。漏洞平均分值為7.24。上周收錄的漏洞中，涉及0day漏洞206個（占81%），其中互聯(lián)網(wǎng)上出現(xiàn)“Tenda AC23命令注入漏洞、Faculty Evaluation System SQL注入漏洞（CNVD-2023-45448）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產(chǎn)品安全漏洞

Microsoft Windows DNS是美國微軟（Microsoft）公司的一個域名解析服務(wù)。域名系統(tǒng)（DNS）是包含TCP / IP的行業(yè)標(biāo)準(zhǔn)協(xié)議套件之一，并且DNS客戶端和DNS服務(wù)器共同為計算機(jī)和用戶提供計算機(jī)名稱到IP地址的映射名稱解析服務(wù)。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導(dǎo)致信息泄露，遠(yuǎn)程代碼執(zhí)行。

CNVD收錄的相關(guān)漏洞包括：Microsoft Windows DNS遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2023-44299、CNVD-2023-44297、CNVD-2023-44298、CNVD-2023-44303、CNVD-2023-44302、CNVD-2023-44300、CNVD-2023-44304）、Microsoft Windows DNS信息泄露漏洞。其中，除“Microsoft Windows DNS信息泄露漏洞”外，其余漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Google產(chǎn)品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google TensorFlow是一套用于機(jī)器學(xué)習(xí)的端到端開源平臺。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面潛在地利用堆損壞，導(dǎo)致內(nèi)存損壞，執(zhí)行任意代碼或造成拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：Google Chrome Navigation內(nèi)存錯誤引用漏洞、Google Android資源管理錯誤漏洞（CNVD-2023-43880）、Google Android輸入驗(yàn)證錯誤漏洞（CNVD-2023-43879）、Google Chrome類型混淆漏洞（CNVD-2023-43877）、Google Chrome緩沖區(qū)溢出漏洞（CNVD-2023-43887、CNVD-2023-43886、CNVD-2023-43885）、Google TensorFlow緩沖區(qū)溢出漏洞（CNVD-2023-43888）。其中，除“Google Android資源管理錯誤漏洞（CNVD-2023-43880）、Google Android輸入驗(yàn)證錯誤漏洞（CNVD-2023-43879）”外，其余漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Adobe產(chǎn)品安全漏洞

Adobe Substance 3D Stager是美國奧多比（Adobe）公司的一個虛擬3D工作室。上周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞在當(dāng)前用戶的上下文中執(zhí)行代碼。

CNVD收錄的相關(guān)漏洞包括：Adobe Substance 3D Stager堆緩沖區(qū)溢出漏洞（CNVD-2023-43891、CNVD-2023-43895）、Adobe Substance 3D Stager越界寫入漏洞（CNVD-2023-43897、CNVD-2023-43893）、Adobe Substance 3D Stager內(nèi)存錯誤引用漏洞、Adobe Substance 3D Stager越界讀取漏洞（CNVD-2023-43894、CNVD-2023-43899、CNVD-2023-43890）。上述漏洞的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

Rockwell Automation產(chǎn)品安全漏洞

Rockwell Automation ArmorStart ST是美國羅克韋爾（Rockwell Automation）公司的一種用于機(jī)旁控制架構(gòu)的簡單而經(jīng)濟(jì)實(shí)用的解決方案。上周，上述產(chǎn)品被披露存在跨站腳本漏洞，攻擊者可利用漏洞注入惡意腳本或HTML代碼，當(dāng)惡意數(shù)據(jù)被查看時，可獲取敏感信息或劫持用戶會話，查看和修改敏感數(shù)據(jù)或使網(wǎng)頁不可用等。

CNVD收錄的相關(guān)漏洞包括：Rockwell Automation ArmorStart ST跨站腳本漏洞（CNVD-2023-44289、CNVD-2023-44288、CNVD-2023-44293、CNVD-2023-44292、CNVD-2023-44291、CNVD-2023-44290、CNVD-2023-44296、CNVD-2023-44295）。其中，“Rockwell Automation ArmorStart ST跨站腳本漏洞（CNVD-2023-44292、CNVD-2023-44296）”的綜合評級為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。

ASUS RT-AC86U緩沖區(qū)溢出漏洞

ASUS RT-AC86U是中國華碩（ASUS）公司的一款雙頻Wi-Fi路由器。上周，ASUS RT-AC86U被披露存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞執(zhí)行任意系統(tǒng)命令、中斷系統(tǒng)或終止服務(wù)。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。

小結(jié)

上周，Microsoft產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞導(dǎo)致信息泄露，遠(yuǎn)程代碼執(zhí)行。此外，Google、Adobe、Rockwell Automation等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞在當(dāng)前用戶的上下文中執(zhí)行代碼，導(dǎo)致內(nèi)存損壞或造成拒絕服務(wù)等。另外，ASUS RT-AC86U被披露存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞執(zhí)行任意系統(tǒng)命令、中斷系統(tǒng)或終止服務(wù)。建議相關(guān)用戶隨時關(guān)注上述廠商主頁，及時獲取修復(fù)補(bǔ)丁或解決方案。

中國電子銀行網(wǎng)綜合CNVD、中國人民銀行杭州中支、郵儲銀行+、中國光大銀行、浦發(fā)銀行、興業(yè)銀行、錦州銀行、桂林銀行金融服務(wù)、廣東農(nóng)信報道

責(zé)任編輯：韓希宇