国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞497个，互联网上出现“Saraban文件上传漏洞、Saraban访问控制错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

人民银行召开2022年金融消费权益保护工作电视会议

坚持守正创新、强化科技赋能，坚持依法履职、完善制度规范，坚持强基固本、促进能力提升，坚持以人为本、打造出色队伍，深入推进党史学习教育与消保工作融合发展。>>详细

处置非法集资部际联席会议办公室发布风险提示 防范以“元宇宙”名义进行非法集资

近期，一些不法分子蹭热点，以“元宇宙投资项目”“元宇宙链游”等名目吸收资金，涉嫌非法集资、诈骗等违法犯罪活动。>>详细

抵制虚拟货币非法交易，远离洗钱犯罪

虚拟货币无真实价值支撑，价格极易被操纵，相关投机交易活动存在虚假资产风险、经营失败风险、投资炒作风险等多重风险。>>详细

金融诈骗套路多 如何帮助消费者守好“钱袋子”

除了有关部门持续加强对不法分子的处罚力度之外，各类金融机构也须切实加强消费者权益保护工作，在事前做好宣传防护，提升消费者金融素养水平，共同守护好消费者的“钱袋子”。>>详细

芯片安全重要性不用多说了吧？智芯芯片、操作系统通过CFCA安全检测

智芯公司研发的一款安全芯片通过中国金融认证中心（CFCA）信息安全实验室EAL4+安全检测。检测结果表明，这款芯片符合相关标准的技术要求，具有抵抗攻击潜力攻击者的能力。>>详细

【消保黔行】防范电信诈骗，筑牢安全防线

很多时候，骗子就是利用一些人的小贪婪、想赚快钱的心理，以及一些恐吓手段实施诈骗。>>详细

手机银行安全防控，为您的账户安全保驾护航

移动云证书是云南农信联合中国金融认证中心共同推出的新一代移动端数字证书。云南农信手机银行APP用户通过身份认证和证书下载，配合人脸识别技术，无需再携带和使用额外的证书或设备。>>详细

天天理财小课堂 | 为什么要做风险测评？

所谓投资者适当性管理，简单来说，就是要根据投资者的风险承担能力，向其销售适当风险等级的理财产品。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年2月14日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞497个，其中高危漏洞153个、中危漏洞320个、低危漏洞24个。漏洞平均分值为6.07。上周收录的漏洞中，涉及0day漏洞195个（占39%），其中互联网上出现“Saraban文件上传漏洞、Saraban访问控制错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat Reader Dc是美国Adobe公司的一个Pdf阅读工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader Dc缓冲区溢出漏洞（CNVD-2022-11149、CNVD-2022-11148、CNVD-2022-11156、CNVD-2022-11155、CNVD-2022-10759、CNVD-2022-10760）、Adobe Acrobat Reader Dc越界写入漏洞（CNVD-2022-10757）、Adobe Acrobat Reader DC整数溢出漏洞。其中，除“Adobe Acrobat Reader Dc缓冲区溢出漏洞（CNVD-2022-11148、CNVD-2022-11156、CNVD-2022-11155）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Wireshark产品安全漏洞

Wireshark（前称Ethereal）是Wireshark团队的一套网络数据包分析软件。该软件的功能是截取网络数据包，并显示出详细的数据以供分析。Gryphon dissector是其中的一个Gryphon协议解析器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行拒绝服务攻击。

CNVD收录的相关漏洞包括：Wireshark拒绝服务漏洞（CNVD-2022-11189）、Wireshark RTMPT解析器拒绝服务漏洞、Wireshark Sysdig事件解析器拒绝服务漏洞、Wireshark BitTorrent DHT解析器拒绝服务漏洞、Wireshark输入验证错误漏洞（CNVD-2022-11204、CNVD-2022-11203、CNVD-2022-11202、CNVD-2022-11206）。其中“Wireshark拒绝服务漏洞（CNVD-2022-11189）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows Update Assistant是美国微软（Microsoft）公司的一款系统更新工具。Microsoft Windows Print Spooler是美国微软（Microsoft）公司的一个打印后台处理程序组件。Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。Microsoft Edge for Android是美国微软（Microsoft）公司的一款适配Android系统的Web浏览器。Microsoft Windows是一款由美国微软公司开发的窗口化操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，删除系统上的目标文件，提升权限，使用SYSTEM权限运行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Windows Update Assistant权限提升漏洞、Microsoft Windows Print Spooler远程代码执行漏洞（CNVD-2022-10026、CNVD-2022-10025）、Microsoft Edge (Chromium-based)权限提升漏洞、Microsoft Edge欺骗漏洞（CNVD-2022-10027）、Microsoft Edge for Android信息泄露漏洞、Microsoft Windows IKE Extension拒绝服务漏洞（CNVD-2022-10030、CNVD-2022-10031）。其中“Microsoft Windows Print Spooler远程代码执行漏洞（CNVD-2022-10025）、Microsoft Windows IKE Extension拒绝服务漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens Simcenter Femap是德国西门子（Siemens）公司的一款尖端工程学仿真应用程序。用于创建、编辑和导入/重用复杂产品或系统基于网格的有限元分析模型。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Siemens Simcenter Femap堆栈缓冲区溢出漏洞（CNVD-2022-10011、CNVD-2022-10015、CNVD-2022-10014）、Siemens Simcenter Femap越界写入漏洞（CNVD-2022-10010、CNVD-2022-10009、CNVD-2022-10013）、Siemens Simcenter Femap内存破坏漏洞（CNVD-2022-10012、CNVD-2022-10016）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda Ax3缓冲区溢出漏洞（CNVD-2022-11183）

Tenda Ax3是中国腾达（Tenda）公司的一款Ax1800千兆端口双频 Wifi 6无线路由器。上周，Tenda AX3被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞通过rebootTime参数造成拒绝服务 (DoS)。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，Wireshark、Microsoft、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，删除系统上的目标文件，提升权限，在当前进程的上下文中执行代码等。另外，Tenda Ax3被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞通过rebootTime参数造成拒绝服务 (DoS)。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、金融时报、邮储银行、江苏银行、贵州银行、云南农信报道

责任编辑：韩希宇