国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞241个，互联网上出现“Tenda AC23堆栈溢出漏洞（CNVD-2023-15697）、yasm hash函数拒绝服务漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

金融诈骗套路多 山寨App背后暗藏猫腻

山寨金融App一般与官方正版App使用相近的字，图标设计也十分相似，一时让人难以分辨，但进入界面后却“别有洞天”。>>详细

银保监会消保局副局长向巴泽西：以问题为导向 做好金融消费者权益保护工作

中国式现代化是人口规模巨大的现代化，要求消保工作不断提升覆盖面，帮助14亿多人口公平享受金融服务。>>详细

兴业银行打造“反诈重器”，守牢人民群众“钱袋子”

兴业银行“企业级数字化智能反欺诈平台”是践行以人民为中心发展思想，切实维护金融消费者合法权益，运用数字化技术重点打造的“反诈重器”，具有“高、精、准、好、快、活”的特点。>>详细

3·15｜保护个人金融信息安全 防范电信诈骗风险

个人金融信息的泄露会严重影响到大家日常生活，不法分子可能利用这些信息申请贷款并冒领资金，导致财产损失并影响征信。特别是青年群体处于人生、事业的起步阶段，更加需要提高警惕，防范过度借贷诱导，加强对自身金融信息的保护，利用法律武器保护合法权益。>>详细

养老骗局又升级？交通银行教您守护钱袋子

老年人买理财产品，要多思考、多咨询、不冲动。对待“高额回报”“快速致富” 的投资项目要冷静分析。>>详细

农业银行开展“3·15”消费者权益保护教育宣传周活动

3月13日-19日，农业银行全面开展2023年“3·15”消费者权益保护教育宣传周活动，旨在提升消费者金融素养，提振金融消费信心，构建和谐健康金融消费环境。>>详细

数字证书吊销后还能作电子签名吗？这些知识，划重点！

数字证书存在移动端安全环境中，由用户自己持有，自己控制，签名私钥也存在移动端安全环境中，不可导出、不可复制。>>详细

【3·15】反诈特辑｜共筑金融防火墙

不轻易点击社交软件中来源不明的链接，不扫描没有安全保障的二维码。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年3月6日-12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞241个，其中高危漏洞147个、中危漏洞81个、低危漏洞13个。漏洞平均分值为7.05。上周收录的漏洞中，涉及0day漏洞165个（占68%），其中互联网上出现“Tenda AC23堆栈溢出漏洞（CNVD-2023-15697）、yasm hash函数拒绝服务漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

DELL产品安全漏洞

Dell PowerPath Management Appliance是美国戴尔（Dell）公司的一种PowerPath主机管理应用程序，提供两种模型：基于虚拟机的设备和Docker容器化设备。Dell PowerScale OneFS是一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。Dell BIOS是一个计算机主板上小型内存芯片上的嵌入式软件。Dell EMC Metro node是一个除数据中心内部、跨数据中心和数据中心之间的物理障碍的应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感数据，通过发送恶意的HTTP或HTTPS请求以root用户权限执行任意的shell命令，覆盖任意文件从而导致拒绝服务等。

CNVD收录的相关漏洞包括：Dell PowerPath Management Appliance授权问题漏洞、Dell PowerScale OneFS资源管理错误漏洞、Dell PowerScale OneFS授权问题漏洞（CNVD-2023-14503）、Dell BIOS输入验证错误漏洞（CNVD-2023-14507、CNVD-2023-14506）、Dell EMC Metro node代码注入漏洞、Dell BIOS缓冲区溢出漏洞（CNVD-2023-14511）、Dell PowerScale OneFS信息泄露漏洞（CNVD-2023-16362）。其中，“Dell PowerPath Management Appliance授权问题漏洞、Dell EMC Metro node代码注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞在受害者的浏览器上下文中执行恶意JavaScript代码。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2023-15822、CNVD-2023-15825、CNVD-2023-15824、CNVD-2023-15823、CNVD-2023-15828、CNVD-2023-15827、CNVD-2023-15826、CNVD-2023-15831）。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务。

CNVD收录的相关漏洞包括：Google TensorFlow输入验证错误漏洞（CNVD-2023-15776、CNVD-2023-15775、CNVD-2023-15779、CNVD-2023-15778、CNVD-2023-15777、CNVD-2023-15781、CNVD-2023-15780）、Google TensorFlow缓冲区溢出漏洞（CNVD-2023-15774）。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

Siemens 产品安全漏洞

Siemens Solid Edge是德国西门子（Siemens）公司的一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过解析特制的DWG文件在当前进程中执行代码等。

CNVD收录的相关漏洞包括：Siemens Solid Edge未初始化指针漏洞（CNVD-2023-15413、CNVD-2023-15420）、Siemens Solid Edge内存破坏漏洞（CNVD-2023-15415）、Siemens Tecnomatix Plant Simulation未初始化指针漏洞、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-15417）、CNVD-2023-15416、CNVD-2023-15419、CNVD-2023-15418）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ZTE ZXHN-H108NS堆栈缓冲区溢出漏洞

ZTE ZXHN-H108NS是中国中兴通讯（ZTE）公司的一款无线路由器。上周，ZTE ZXHN-H108NS被披露存在堆栈缓冲区溢出漏洞。攻击者可利用此漏洞导致设备崩溃。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，DELL产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感数据，通过发送恶意的HTTP或HTTPS请求以root用户权限执行任意的shell命令，覆盖任意文件从而导致拒绝服务等。此外，Adobe、Google、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞在受害者的浏览器上下文中执行恶意JavaScript代码，通过解析特制的DWG文件在当前进程中执行代码，导致拒绝服务。另外，ZXHN-H108NS被披露存在堆栈缓冲区溢出漏洞。攻击者可利用此漏洞导致设备崩溃。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、证券日报、中国农业银行、中国银行、交通银行、兴业银行、南京银行报道

责任编辑：韩希宇