国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞542个，互联网上出现“Student Grading System SQL注入漏洞（CNVD-2022-44234）、Purchase Order Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

银保监会发布风险提示：防范冒用银保监会名义实施“清退回款”诈骗

银保监会消费者权益保护局发布风险提示，提示金融消费者要提高警惕，增强风险防范意识和识别能力，如发现此类涉嫌诈骗犯罪线索，应立即向公安机关等有关部门报案或反映。>>详细

守住钱袋子 护好幸福家 | 交行助您提高风险防范意识

本次宣传月期间，交行聚焦养老服务、私募基金、财富管理等重点领域，紧盯非法集资新形式新手段，通过厅堂网点宣传、社区宣传、新媒体渠道宣传等多种方式向广大群众揭示非法集资性质、特征及主要手法。>>详细

【消保】消保靠“浦”——高考过后，学生家长们快看过来！

查分请认准教育主管部门]指定的网址，要谨防各类涉及查分的短信、链接。一旦个人信息泄露，骗子将会利用这些信息进行精准侵害。>>详细

防疫也防诈，警惕以“疫”之名的种种骗局

所谓内幕和信息全是骗子使的计，个人信息很重要，账号密码保管好，陌生链接莫乱点，目的就是骗你钱。真假“李逵”难分辨,转账汇款就受骗。>>详细

金融云别忘定期“体检”，提升数字“免疫力”

应用云计算技术的金融机构和云厂商都应对金融云安全提起高度重视，及时开展安全检测、合规认证工作，必要时应委托专业、正规的第三方测评机构进行云计算平台安全检测。>>详细

以案说险 | 教您防范电信网络诈骗之网络虚假“国企”诈骗

请提高警惕，不要随意加入网络虚拟团体组织，不要听信其高额的回报诱惑，守护好自己和家人的“钱袋子”，防范资金流入诈骗分子手中。>>详细

大连银行打造移动威胁感知平台 助力数字安全生态建设

近日，大连银行投产上线了移动威胁感知平台，其承担着对大连银行移动金融APP应用环境的检测、预测职能，通过在APP中加入威胁感知探针，能够动态发现应用运行过程中的各类攻击行为。>>详细

防范养老陷阱 守护幸福晚年

老年人面对众多理财产品时，不要随意听信任何推销产品人员的一面之词，不要盲目相信宣传的收益率。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年6月6日-12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞542个，其中高危漏洞169个、中危漏洞292个、低危漏洞81个。漏洞平均分值为5.57。上周收录的漏洞中，涉及0day漏洞396个（占73%），其中互联网上出现“Student Grading System SQL注入漏洞（CNVD-2022-44234）、Purchase Order Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞导致本地权限升级。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-43854、CNVD-2022-43857、CNVD-2022-43856、CNVD-2022-43855、CNVD-2022-44604、CNVD-2022-44607、CNVD-2022-44606、CNVD-2022-44605）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Acrobat Reader是一款PDF查看器。该软件用于打印，签名和注释PDF。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：多款Adobe产品资源管理错误漏洞（CNVD-2022-43379、CNVD-2022-43455、CNVD-2022-43382、CNVD-2022-43380、CNVD-2022-43384、CNVD-2022-43454）、多款Adobe产品越界写入漏洞（CNVD-2022-43453）、多款Adobe产品越界读取漏洞（CNVD-2022-43383）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过Web身份验证并获得设备的管理访问权限，创建任意文件，进行权限提升等。

CNVD收录的相关漏洞包括：Huawei HarmonyOS整数溢出漏洞（CNVD-2022-44616）、Huawei HarmonyOS授权问题漏洞（CNVD-2022-44619、CNVD-2022-44618）、Huawei HarmonyOS目录遍历漏洞、Huawei HarmonyOS WIFI模块权限提升漏洞、Huawei HarmonyOS拒绝服务漏洞（CNVD-2022-44620）、Huawei HarmonyOS DFX模块访问控制错误漏洞、Huawei HarmonyOS DFX模块释放后重用漏洞。其中，“Huawei HarmonyOS WIFI模块权限提升漏洞、Huawei HarmonyOS DFX模块释放后重用漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Threat Defense是美国思科（Cisco）公司的一套提供下一代防火墙服务的统一软件。Cisco Firepower Management Center（FMC）是美国思科（Cisco）公司的新一代防火墙管理中心软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在未经适当授权的情况下查看数据，将XML注入命令解析器，导致命令的意外处理和意外的命令输出，触发拒绝服务 (DoS) 条件等。

CNVD收录的相关漏洞包括：Cisco Firepower Threat Defense输入验证错误漏洞、Cisco Firepower Threat Defense代码问题漏洞、Cisco Firepower Management Center输入验证错误漏洞（CNVD-2022-43400）、Cisco Firepower Management Center代码问题漏洞、Cisco Firepower Threat Defense访问控制错误漏洞（CNVD-2022-43398）、Cisco Firepower Threat Defense资源管理错误漏洞（CNVD-2022-43404）、Cisco Firepower Threat Defense拒绝服务漏洞（CNVD-2022-43403、CNVD-2022-43402）。其中，“Cisco Firepower Threat Defense代码问题漏洞、Cisco Firepower Management Center代码问题漏洞、Cisco Firepower Threat Defense资源管理错误漏洞（CNVD-2022-43404）、Cisco Firepower Threat Defense拒绝服务漏洞（CNVD-2022-43402）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Vite目录遍历漏洞

Vite⼀种新型前端构建⼯具，能够显著提升前端开发体验。上周，Vite被披露存在目录遍历漏洞。攻击者可利用该漏洞访问本地⽂件系统。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在权限提升漏洞，攻击者可利用漏洞导致本地权限升级。此外，Adobe、Huawei、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞在未经适当授权的情况下查看数据，将XML注入命令解析器，导致命令的意外处理和意外的命令输出，触发拒绝服务 (DoS) 条件，在当前用户的上下文中执行任意代码等。另外，Vite被披露存在目录遍历漏洞。攻击者可利用该漏洞访问本地⽂件系统。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、每日经济新闻、今日建行、交通银行、邮储银行+、浦发银行、恒丰银行、大连银行报道

责任编辑：韩希宇