国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞614个，互联网上出现“Advantech iView SQL注入漏洞、Egavilan Media Resumes Management and Job Application Website SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【反诈】年底防诈不放松，提高警惕记心中

小智提醒您：天上不会掉馅饼，任何要求垫资的网络刷单都是诈骗。对“刷单”“刷信誉”“刷信用”等网络兼职广告要提高警惕，做到“不轻信！不贪利！不垫资！”。>>详细

【消保小讲堂】老年人银行自助设备使用攻略

银行网点智能化水平越来越高，以往我们需要在窗口排队办理的业务现在都可以通过智能自助设备办理，老年朋友们可能对智能设备比较陌生，本期就带老年朋友们了解如何使用银行自助设备。>>详细

2022金融科技锦绣论坛举办 CFCA获得银联云两项生态合作伙伴授牌

中国银联向银联云金融科技生态合作伙伴授牌。CFCA成为银联云“云安全认证及检测服务”及“信息技术创新应用服务”生态合作伙伴。>>详细

“新市民”安全用卡牢记心间 时刻紧绷防范之弦

工资卡、∪盾、手机银行……多种金融支付工具作为我们工作和生活中重要的小帮手，安全使用有着大学问。>>详细

普及|今天出借银行卡，明天警察上门查！

切勿出租出借出售本人实名银行卡，不要因贪小利而犯大错。>>详细

【以案说险】网络购物需谨慎，防范诈骗要当心！

当消费者遇到“退货退款”或“ 返还部分货款”时，不要贪图小利，轻信所谓“返利”等幌子，更不要轻易点击可疑链接、扫描可疑二维码、下载可疑APP。>>详细

宁夏银行紧急止付账户 保护客户资金安全

近日，宁夏银行高尔夫支行成功堵截一起针对老年客户的电信网络诈骗案件，并对客户账户采取紧急止付措施，切实保护老年客户资金安全。>>详细

办一份资产证明需要多久？可信电子章加持，坐等可取、安全高效！

CFCA无纸化电子印章系统所使用的机构证书（企业证书）以及场景证书均从权威的第三方CA（CFCA）签发，具有法律效力，证书以及生成的电子签名均符合《电子签名法》的要求。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年12月19日-25日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞614个，其中高危漏洞283个、中危漏洞290个、低危漏洞41个。漏洞平均分值为6.46。上周收录的漏洞中，涉及0day漏洞463个（占75%），其中互联网上出现“Advantech iView SQL注入漏洞、Egavilan Media Resumes Management and Job Application Website SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft Graphics Component是美国微软（Microsoft）公司的图形驱动组件。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞在目标主机上执行代码。

CNVD收录的相关漏洞包括：Microsoft SharePoint Server远程代码执行漏洞（CNVD-2022-89421）、Microsoft Office Visio远程代码执行漏洞（CNVD-2022-89422、CNVD-2022-89424）、Microsoft Office Graphics远程代码执行漏洞（CNVD-2022-89423、CNVD-2022-89425、CNVD-2022-89427、CNVD-2022-89426、CNVD-2022-89428）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞通过多种协议访问网络，从而破坏MySQL Server，并导致MySQL Server挂起或频繁重复崩溃（完全DOS）。

CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2022-89431、CNVD-2022-89430、CNVD-2022-89433、CNVD-2022-89432、CNVD-2022-89435、CNVD-2022-89434、CNVD-2022-89436、CNVD-2022-89437）。目前，厂商已经发布了上述漏洞的修补程序。

SIEMENS产品安全漏洞

Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2GO是一款JT文件查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用使应用程序崩溃，从而导致拒绝服务条件，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens Teamcenter Visualization和JT2Go内存错误引用漏洞、Siemens Teamcenter Visualization和JT2Go越界读取漏洞（CNVD-2022-88422、CNVD-2022-88424、CNVD-2022-88426、CNVD-2022-88427、CNVD-2022-89530）、Siemens Teamcenter Visualization和JT2Go文件分析漏洞（CNVD-2022-89513）、Siemens Teamcenter Visualization和JT2Go越界写入漏洞。其中，除“Siemens Teamcenter Visualization和JT2Go文件分析漏洞（CNVD-2022-89513）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Threat Defense（FTD）和Cisco Adaptive Security Appliances Software（ASA Software）都是美国思科（Cisco）公司的产品。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。Cisco RoomOS Software和Cisco TelePresence Collaboration Endpoint Software都是美国思科（Cisco）公司的产品。Cisco RoomOS Software是一套用于Cisco设备的自动管理软件。该软件主要用于升级、管理Cisco设备的主板固件。Cisco TelePresence Collaboration Endpoint Software是一套协作终端软件。Cisco Small Business RV Series Routers是美国思科（Cisco）公司的一款RV系列路由器。Cisco SD-WAN vManage Software是美国思科（Cisco）公司的一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Enterprise NFV Infrastructure Software是美国思科（Cisco）公司的一套NVF基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成高CPU利用率，从而导致拒绝服务，在受影响的设备上执行任意代码等。

CNVD收录的相关漏洞包括：Cisco Firepower Threat Defense和Cisco Adaptive Security Appliances Software拒绝服务漏洞、Cisco TelePresence Collaboration Endpoint and RoomOS Software拒绝服务和信息泄露漏洞、Cisco Small Business RV Series Routers远程代码执行漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2022-89247）、Cisco Enterprise NFV Infrastructure Software命令注入漏洞（CNVD-2022-89248）、Cisco Enterprise NFV Infrastructure Software权限许可和访问控制问题漏洞（CNVD-2022-89249）、Cisco Small Business RV Series Routers命令注入漏洞（CNVD-2022-89251）、Cisco Enterprise NFV Infrastructure Software XML外部实体注入漏洞。其中，除“Cisco Firepower Threat Defense和Cisco Adaptive Security Appliances Software拒绝服务漏洞、Cisco TelePresence Collaboration Endpoint and RoomOS Software拒绝服务和信息泄露漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2022-89247）、Cisco Enterprise NFV Infrastructure Software XML外部实体注入漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Aruba Networks ArubaOS和InstantOS缓冲区溢出漏洞

ArubaOS是Aruba Mobility Controllers、Mobility Master和控制器管理的接入点（APs）的网络操作系统。InstantOS是一个基于Arch Linux的发行版。上周，Aruba Networks ArubaOS和InstantOS被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在远程代码执行漏洞，攻击者可利用漏洞在目标主机上执行代码。此外，Oracle、SIEMENS、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过多种协议访问网络，从而破坏MySQL Server，并导致MySQL Server挂起或频繁重复崩溃（完全DOS），在受影响的设备上执行任意代码等。另外，Aruba Networks ArubaOS和InstantOS被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、光大远程微讯、桂林银行金融服务、营口银行、邯郸银行、宁夏银行、广东农信报道

责任编辑：韩希宇