国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞347个，互联网上出现“Tenda M3 formSetStoreWeb函数缓冲区溢出漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

普及金融小常识 | 谨防电信诈骗

诈骗分子可能通过黑客攻击等不法手段获取了公民信息，并先以请市民自行前往本地公安机关签收调查严重犯罪的公函为由，步步引诱市民上当，最后会请市民汇款给“公安机关安全账户”。>>详细

农商财课堂 | 养老诈骗“套路深” 快@爸妈一起来识别！

活到老，学到老，老年人应了解当前多发的诈骗案件，提高对诈骗伎俩的识别能力。>>详细

【小河讲反洗钱】揭秘冒充客服诈骗套路

电商购物平台400开头的客服不会主动外呼，外呼客服号码为固定短号。如接到自称各类电商或金融平台客服，一定不要轻信、更不要随意转款，直接拨打平台官方客服核实。>>详细

普及|换“芯”不换号，让您更安心~

不要登录陌生网站，不要下载、使用来历不明的软件；不轻信“中奖”“返利”“免费”等字样的信息或广告。>>详细

工业互联网信息安全保障如何覆盖全体系、贯穿全流程？

CFCA具备工业互联网的相关系统安全检测的能力，其中包括渗透测试、代码审计等全方位信息安全服务，保障系统及应用安全合规。>>详细

【消保小剧场】差点“一夜暴负”

不向他人随意透露银行卡号、账户密码、有效期、安全码、身份证号、短信验证码等重要信息。>>详细

个人征信查询如何更快捷、更安全？电子征信授权解决方案一站搞定！

CFCA整合金融、政务、公安、移动运营商等行业的多元信息，结合多年专业金融信息安全服务经验，提供统一身份认证服务、反欺诈服务和信用评价服务等多元数据产品及一体化解决方案。>>详细

【反诈】谈了一场“惊心动魄”的恋爱，结局却......千万别让“七夕节”变“七夕劫”

“天上不会掉馅饼”，所谓“低成本、高回报”往往都是骗人的幌子，一定不要贪图利益，赚钱还是要脚踏实地。>>详细

消保小卫士｜警惕非法“代理维权”，理性维护合法权益

消保小卫士提醒您：警惕非法“代理维权”侵害，正规渠道维护自身合法权益！>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年7月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞347个，其中高危漏洞130个、中危漏洞180个、低危漏洞37个。漏洞平均分值为6.16。上周收录的漏洞中，涉及0day漏洞280个（占81%），其中互联网上出现“Tenda M3 formSetStoreWeb函数缓冲区溢出漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Character Animator是美国奥多比（Adobe）公司的一款动作捕捉和动画制作工具。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe Media Encoder是美国奥多比（Adobe）公司的一款音、视频编码应用程序。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致敏感内存泄露，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Character Animator越界写入漏洞、Adobe Photoshop越界写入漏洞（CNVD-2022-52087）、Adobe Media Encoder内存破坏漏洞（CNVD-2022-52098）、多款Adobe资源管理错误漏洞（CNVD-2022-52291）、多款Adobe产品缓冲区溢出漏洞（CNVD-2022-52922）、多款Adobe产品越界写入漏洞（CNVD-2022-52921）、多款Adobe产品资源管理错误漏洞（CNVD-2022-52920）、多款Adobe产品越界读取漏洞（CNVD-2022-52924）。其中，除“多款Adobe产品越界读取漏洞（CNVD-2022-52924）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei MindSpore Community是中国华为（Huawei）公司的开源深度学习框架。HUAWEI EMUI是中国华为（HUAWEI）公司的一款基于Android开发的移动端操作系统。HUAWEI HarmonyOS是中国华为（HUAWEI）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Honor Magic Ui是中国Honor公司的一款基于Android开发的移动端操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致设备崩溃等。

CNVD收录的相关漏洞包括：Huawei MindSpore Community SparseToDense信息泄露漏洞、Huawei MindSpore Community Transpose信息泄露漏洞、HUAWEI EMUI信息泄露漏洞、HUAWEI HarmonyOS缓冲区溢出漏洞（CNVD-2022-52823）、HUAWEI HarmonyOS拒绝服务漏洞、HUAWEI HarmonyOS安全模块授权问题漏洞、HUAWEI HarmonyOS SystemUI模块权限管理漏洞、Huawei Emui和Honor Magic Ui缓冲区溢出漏洞（CNVD-2022-52826）。其中，“HUAWEI HarmonyOS拒绝服务漏洞、Huawei Emui和Honor Magic Ui缓冲区溢出漏洞（CNVD-2022-52826）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限升级。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-52264、CNVD-2022-52265、CNVD-2022-52268、CNVD-2022-52267、CNVD-2022-52271、CNVD-2022-52270）、Google Android缓冲区溢出漏洞（CNVD-2022-52274）、Google Android输入验证错误漏洞（CNVD-2022-52273）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle PeopleSoft Enterprise PRTL Interaction Hub是美国甲骨文（Oracle）公司的一个企业门户交互中心组件。Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle Access Manager是美国甲骨文（Oracle）公司的提供创新的新服务来补充传统的访问管理功能。Oracle Database Server是美国甲骨文（Oracle）公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞破坏或删除数据，导致拒绝服务，执行任意代码等。

CNVD收录的相关漏洞包括：Oracle MySQL输入验证错误漏洞（CNVD-2022-52562）、Oracle PeopleSoft Enterprise PRTL Interaction Hub访问控制错误漏洞、Oracle Fusion Middleware Helidon输入验证错误漏洞、Oracle Access Manager存在输入验证错误漏洞、Oracle Database Server输入验证错误漏洞（CNVD-2022-52564）、Oracle WebLogic Server输入验证错误漏洞（CNVD-2022-52566）、Oracle MySQL输入验证错误漏洞（CNVD-2022-53246、CNVD-2022-53249）。其中“Oracle WebLogic Server存在拒绝服务漏洞、Oracle WebLogic Server输入验证错误漏洞（CNVD-2022-52566）、Oracle MySQL输入验证错误漏洞（CNVD-2022-53246）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Juniper Networks Junos OS输入验证错误漏洞（CNVD-2022-53250）

Juniper Networks Junos OS是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。上周，Juniper Networks Junos OS被披露存在输入验证错误漏洞。攻击者利用该漏洞通过MPLS IPv6 Packet引起Jonos OS的致命错误导致其拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞导致敏感内存泄露，在当前用户的上下文中执行任意代码等。此外，Huawei、Google、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致设备崩溃，执行任意代码等。另外，Juniper Networks Junos OS被披露存在输入验证错误漏洞。攻击者可利用漏洞通过MPLS IPv6 Packet引起Jonos OS的致命错误导致其拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、河北银行、湖北银行、桂林银行金融服务、深圳农商银行、贵阳银行、广东农信、成都农商银行报道

责任编辑：韩希宇