国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞456个，互联网上出现“Library Management System SQL注入漏洞（CNVD-2022-61297）、Advanced School Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

银保监会发布风险提示 提醒消费者警惕三大销售误导行为

三大误导行为的表现包括：隐瞒、混淆产品信息误导消费者；暗藏搭售误导消费者；夸大保险责任或承诺保证收益误导消费者。>>详细

面对新型数字化诈骗，人工智能如何守护金融账户安全？

面对迭代迅速的新型数字化诈骗团队，传统风控策略已无法完全满足，银行必须采用新的数字化、智能化防控手段。>>详细

中国银联参加第九届国家网络安全宣传周 联接创造价值 安全惠及民生

线下实体展览期间，中国银联通过图文展示、视频展示、现场讲解、互动体验，向观众介绍银联在网络安全综合防控技术、金融级安全生态建设、支付安全创新与应用三个方面的研究成果。>>详细

【反诈】电信诈骗早知道，练就钱包“金钟罩”！

切勿相信通过网络或电话途径的办案方式，政府机构不会主动索要个人银行卡号、验证码等隐私信息，更不会要求直接汇款！>>详细

你的终端，安全吗？

我就是把防病毒软件卸载了，不会有什么事儿吧？>>详细

四招教你逮住“内鬼”APP

话费流量为何诡异消失？神秘扣款为何悄然出现？屏幕下，究竟藏着什么？>>详细

【金教基地】牢记防诈三“不”原则：不听不信不转账

在日常生活中增强个人信息安全意识，慎重对待合同签署环节，不在空白合同签字。不随意提供身份证、银行卡号、密码、验证码等重要信息，以防被冒用、滥用或非法使用。>>详细

守护物联网系统安全，CFCA再添评估保障级认证（物联网产品）检测资质

为了对物联网产品的安全性进行统一评价，CCRC根据IT产品通用评估准则制定了一系列物联网产品安全技术要求。>>详细

【金融知识进万家】贵州银行提醒您谨防诈骗

如何分辨金融产品的真伪是广大金融消费者关注的问题，人民银行金融消费权益保护局局长余文建给消费者支招“一看二问三查四不要”。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年8月29日-9月4日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞456个，其中高危漏洞155个、中危漏洞261个、低危漏洞40个。漏洞平均分值为6.15。上周收录的漏洞中，涉及0day漏洞331个（占73%），其中互联网上出现“Library Management System SQL注入漏洞（CNVD-2022-61297）、Advanced School Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Adobe产品安全漏洞

Adobe RoboHelp是美国奥多比（Adobe）公司的针对Windows开发和发布的帮助创作工具。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe Bridge是Adobe公司推出的一款免费数字资产管理应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，使服务崩溃。

CNVD收录的相关漏洞包括：Adobe RoboHelp跨站脚本漏洞（CNVD-2022-60077）、Adobe Photoshop资源管理错误漏洞（CNVD-2022-60078、CNVD-2022-60076）、Adobe Photoshop缓冲区溢出漏洞（CNVD-2022-60075）、Adobe Bridge越界读取漏洞（CNVD-2022-60081）、Adobe Bridge内存损坏漏洞、Adobe Bridge缓冲区溢出漏洞（CNVD-2022-60083、CNVD-2022-60080）。其中，“Adobe Photoshop资源管理错误漏洞（CNVD-2022-60078、CNVD-2022-60076） ”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Spectrum Protect是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum Protect（前称Tivoli Storage Manager）是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum Protect Plus是美国IBM公司的一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum Protect Plus和IBM Spectrum Copy Data Management都是美国IBM公司的产品。IBM Spectrum Protect Plus是一套数据保护平台。该平台为企业提供单一控制和管理点，并支持对所有规模的虚拟、物理和云环境进行备份和恢复。IBM Spectrum Copy Data Management是实现数据中心副本管理流程的现代化、简化和自动化。IBM Spectrum Protect Operations Center是美国IBM公司的一个为IBM Spectrum Protect环境提供可视化控制的软件。IBM Security Guardium Insights是美国IBM公司的一套数据安全解决方案。该产品支持数据分析、威胁警报、数据安全性审计和本地数据监控等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全性并获取对易受攻击服务器的未经授权的访问，执行拒绝服务攻击等。

CNVD收录的相关漏洞包括：IBM Spectrum Protect权限提升漏洞（CNVD-2022-60419）、IBM Spectrum Protect拒绝服务漏洞（CNVD-2022-60417）、IBM Spectrum Protect Server信息泄露漏洞（CNVD-2022-60413）、IBM Spectrum Protect Plus信息泄露漏洞（CNVD-2022-60418）、IBM Spectrum Protect Plus和IBM Spectrum Copy Data Management拒绝服务漏洞、IBM Spectrum Protect Plus Container Backup and Restore权限提升漏洞、IBM Spectrum Protect Operations Center信息泄露漏洞（CNVD-2022-60414）、IBM Security Guardium Insights信息泄露漏洞（CNVD-2022-60422）。其中，“IBM Spectrum Protect权限提升漏洞（CNVD-2022-60419） ”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft .NET Framework是美国微软（Microsoft）公司的一种全面且一致的编程模型，也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C＃和Visual Basic编程语言、公共语言运行库和广泛的类库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以更高的权限执行任意代码，提升权限等。

CNVD收录的相关漏洞包括：Microsoft Edge (Chromium-based) 权限提升漏洞（CNVD-2022-60122、CNVD-2022-60121、CNVD-2022-60120、CNVD-2022-60119、CNVD-2022-60118、CNVD-2022-60117、CNVD-2022-60131）、Microsoft .NET Framework拒绝服务漏洞（CNVD-2022-60136） 。其中，“Microsoft .NET Framework拒绝服务漏洞（CNVD-2022-60136）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

FFmpeg产品安全漏洞

FFmpeg是Ffmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞触发越界读取内存访问，并在系统上执行任意代码，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：FFmpeg shorten_decode_frame()函数拒绝服务漏洞、FFmpeg rpza_decode_stream()代码执行漏洞、FFmpeg read_var_block_data()函数缓冲区溢出漏洞、FFmpeg msrle_decode_frame()函数拒绝服务漏洞、FFmpeg HEVC video decoder拒绝服务漏洞、FFmpeg ff_init_buffer_info()函数拒绝服务漏洞、FFmpeg decode_slice_header()函数拒绝服务漏洞（CNVD-2022-60138、CNVD-2022-60145）。目前，厂商已经发布了上述漏洞的修补程序。

WAVLINK AERIAL X 1200M命令注入漏洞

WAVLINK AERIAL X 1200M是中国WAVLINK公司的一款WiFi扩展器。上周，WAVLINK AERIAL X 1200M被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，使服务崩溃等。此外，IBM、Microsoft、FFmpeg等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全性并获取对易受攻击服务器的未经授权的访问，执行拒绝服务攻击，以更高的权限执行任意代码，提升权限等。另外，WAVLINK AERIAL X 1200M被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、第一财经、每日经济新闻、中国银联、浦发银行、民生银行手机银行、晋商银行、贵州银行报道

责任编辑：韩希宇