国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞622个，互联网上出现“Tenda AX180堆栈溢出漏洞、Delight Nashorn Sandbox拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【消保小讲堂】谨防疫情防控期间诈骗“新套路”

请不要轻易点击不明链接和扫描一切可疑二维码，谨防进入钓鱼网站，泄露个人信息。>>详细

【安全课堂】网络诈骗套路多，虚拟币投资要远离！

高额回报不可信，网络投资要当心，陌生APP勿下载，虚拟币交易触红线，金融诈骗套路多，不贪便宜不上当，理财要按规矩来，争做守法好公民。>>详细

消保小课堂丨防范租借信用卡的风险

持卡人在使用信用卡时应根据个人及家庭财务状况科学、理性消费。要坚持“量入为出”，防止“寅吃卯粮”、过度消费，更要防止因大额负债陷入“以贷还贷”“以卡养卡” 的境况。>>详细

如何安全使用手机银行

在使用交易类、银行卡类应用进行支付或者转账的过程中保证手机在本人身边。>>详细

【以案说险】馅饼变陷阱，这种诈骗重现江湖！

走在路上，有人突然掉下"钱包"，这时有个陌生人过来说，见者有份，一起分钱，别以为这是天下掉“馅饼”，这其实是丢包诈骗的惯用伎俩。>>详细

金教基地 | 安全理财金融常识

遇到非法集资要做到，四看三思等一夜。三思：一思自己是否了解该产品及市场行情；二思产品是否符合市场规律；三思自身需求，避免被高利诱惑。>>详细

一图读懂《反电信网络诈骗法》

2022年9月2日，十三届全国人大常委会第三十六次会议表决通过《中华人民共和国反电信网络诈骗法》。自2022年12月1日起施行。>>详细

【防范】企业反诈实鉴小课堂

近年来金融诈骗屡见不鲜，骗子诡计多端花样百出。听过很多道理，依然有人躲不过电信诈骗。为保证您的账户资金更安全，请了解电信诈骗常见套路。不要有侥幸心理，务必提高警惕。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年11月14日-20日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞622个，其中高危漏洞228个、中危漏洞323个、低危漏洞71个。漏洞平均分值为6.10。上周收录的漏洞中，涉及0day漏洞411个（占66%），其中互联网上出现“Tenda AX180堆栈溢出漏洞、Delight Nashorn Sandbox拒绝服务漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft HEIF Image Extensions是美国微软（Microsoft）公司的微软Windows系统得一个功能库。Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Paint 3D是一款电脑画图软件，该软件在原有基础上做出了优化调整，并且加入了全新的、全面的画图工具，能够将平面的2D图像逐渐演变成3D图像。Microsoft Windows ALPC是美国微软（Microsoft）公司发展出来替代LPC，用于本机RPC的一种C/S模型技术。Microsoft Windows是美国微软（Microsoft）公司的一个光盘驱动器。Microsoft Windows Cloud Files Mini Filter Driver是美国微软（Microsoft）公司的一款云文件过滤器驱动程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Microsoft HEIF Image Extensions远程代码执行漏洞、Microsoft Office Visio远程代码执行漏洞（CNVD-2022-77995、CNVD-2022-77996）、Microsoft Paint 3D远程代码执行漏洞、Microsoft Windows ALPC权限提升漏洞（CNVD-2022-78027、CNVD-2022-78053）、MIcrosoft Windows CD-ROM Driver权限提升漏洞、Microsoft Windows Cloud Files Mini Filter Driver权限提升漏洞。其中，“MIcrosoft Windows CD-ROM Driver权限提升漏洞” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5 BIG-IP APM Edge Client for Windows是F5公司的一款客户端访问控制认证接入客户端应用程序。F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS，远程接入策略管理等功能的应用交付平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得权限升级，在当前登录用户的上下文中执行JavaScript，导致拒绝服务。

CNVD收录的相关漏洞包括：F5 BIG-IP代码问题漏洞（CNVD-2022-77521、CNVD-2022-77525）、F5 BIG-IP输入验证错误漏洞（CNVD-2022-77524）、F5 BIG-IP资源管理错误漏洞（CNVD-2022-77522、CNVD-2022-77526、CNVD-2022-77530）、F5 BIG-IP APM跨站脚本漏洞（CNVD-2022-77527）、F5 BIG-IP跨站脚本漏洞（CNVD-2022-77529）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe InCopy是美国Adobe公司的一款用于创作的文本编辑软件。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Adobe InDesign代码执行漏洞（CNVD-2022-76624、CNVD-2022-76625）、Adobe InCopy内存错误引用漏洞、Adobe InCopy越界写入漏洞（CNVD-2022-76627）、Adobe Illustrator代码执行漏洞、Adobe Illustrator越界读取漏洞（CNVD-2022-76631、CNVD-2022-76632、CNVD-2022-76633）。其中，除“Adobe Illustrator越界读取漏洞（CNVD-2022-76631）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM Business Automation Workflow是美国IBM公司的一套工作流程自动化解决方案。该产品主要用于工作流程管理、合规性管理，并具有工作流程可见性和可扩展等特点。IBM Robotic Process Automation是美国国际商业机器（IBM）公司的一种机器人流程自动化产品。可帮助您以传统RPA的轻松和速度大规模自动化更多业务和IT流程。IBM Rational Change是美国IBM公司的一种软件工具。为与软件开发相关的所有工件提供了软件配置管理功能，包括源代码，文档和图像以及最终构建的软件可执行文件和库。IBM Maximo Asset Management是美国国际商业机器（IBM）公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，在受害者当前使用的环境中执行脚本，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM InfoSphere Information Server拒绝服务漏洞、IBM Business Automation Workflow信息泄露漏洞、IBM InfoSphere Information Server CSV注入漏洞、IBM InfoSphere Information Server跨站请求伪造漏洞、IBM Robotic Process Automation授权问题漏洞（CNVD-2022-77512）、IBM Rational Change跨站脚本漏洞（CNVD-2022-77517）、IBM InfoSphere Information Server XML外部实体注入（XXE）漏洞、IBM Maximo Asset Management身份验证错误漏洞。其中，除“IBM InfoSphere Information Server拒绝服务漏洞、IBM Business Automation Workflow信息泄露漏洞、IBM Rational Change跨站脚本漏洞（CNVD-2022-77517）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TYPO3 Matomo Integration组件跨站脚本漏洞

TYPO3是瑞士TYPO3协会的一套免费开源的内容管理系统（框架）（CMS/CMF）。Matomo是Matomo团队的一套网站统计分析平台。该平台包括访客统计、Web分析、图表生成和SEO优化等功能。上周，TYPO3 Matomo Integration组件被披露存在跨站脚本漏洞。该漏洞源于Matomo Integration组件缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在网站中注入JavaScript代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，在系统上执行任意代码。此外，F5 、Apache、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，在系统上执行任意代码，或导致应用程序崩溃等。另外，TYPO3 Matomo Integration组件被披露存在跨站脚本漏洞。攻击者可利用漏洞在网站中注入JavaScript代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、交通银行公司金融、北京银行微银行、蒙商银行、贵州银行、晋商银行、桂林银行金融服务、重庆农村商业银行报道

责任编辑：韩希宇