国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞496个，互联网上出现“Cisco IOS XE Software web UI权限提升漏洞、Netis N3Mv2缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

邮储银行积极开展金融知识教育宣传，传递金融温暖能量

中国邮政储蓄银行在全行范围内组织开展2023年“金融消费者权益保护教育宣传月”活动，通过形式多样、内容丰富的宣传活动，帮助消费者提升金融素养、增强金融安全意识。>>详细

假冒基金公司，编造“高大上”的投资名目……最高检发布防范金融投资诈骗典型案例

假冒基金公司诈骗1.2亿元、非法荐股诱骗股民高位接盘、以新三板公司拟上市为诱饵进行股权集资诈骗……>>详细

养老防诈骗指南，请收好

在巨大的养老需求面前，不法分子以“养老”为名的诈骗手段花样百出，给老年人造成财产损失和精神打击，今天就带您辨别养老诈骗，识破“养老理财”、“养老服务”等常见骗局，提高防诈意识！>>详细

金教基地 | 警惕非法网贷套路深

合理控制个人消费水平，选择正规渠道贷款，重视合同法律效力，详细了解条款要求，理性维权，不接受无理要求。>>详细

【防诈提醒】“百万保障”服务要扣费？警惕这种新型骗局！

不要轻信“保证金”退回套路，不要向陌生账户转账汇款，保护您的资金安全。>>详细

【安全小课堂】警惕！秋风起，大“诈”蟹来了！

大闸蟹礼品快递+扫码兑换+做任务=诈骗。>>详细

小鹰说反诈 | 警惕对公账户变诈骗利器

随着打击治理电信诈骗的力度持续加大，不法分子瞄准了部分对公账户，以多种手段诱骗部分企业单位“主动”或“被动”参与到电信诈骗资金流转活动中。>>详细

上海农商银行积极开展2023年金融消费者权益保护教育宣传月活动

2023年金融消费者权益保护教育宣传月期间，上海农商银行360余家营业网点、近9000名员工参与其中，开展“五进入”教育宣传活动2047场，触及金融消费者超125万人次。>>详细

防诈|揭穿骗局，医保网络诈骗新套路

如在收到类似诈骗短信时，可以登录“国家医保服务平台”官方网站或登录国家医保服务平台APP等方式确认自己的医保信息是否正常。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年10月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞496个，其中高危漏洞192个、中危漏洞271个、低危漏洞33个。漏洞平均分值为6.17。上周收录的漏洞中，涉及0day漏洞437个（占88%），其中互联网上出现“Cisco IOS XE Software web UI权限提升漏洞、Netis N3Mv2缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上获取更高的权限。

CNVD收录的相关漏洞包括：Microsoft Edge权限提升漏洞（CNVD-2023-76758、CNVD-2023-76759、CNVD-2023-76760、CNVD-2023-76761、CNVD-2023-76762、CNVD-2023-76763、CNVD-2023-76764、CNVD-2023-76765）。其中，除“Microsoft Edge权限提升漏洞（CNVD-2023-76762、CNVD-2023-76763）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Aspera是美国国际商业机器（IBM）公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞使用特制的XML输入获取敏感的凭据信息，导致缓冲区溢出并在系统上执行任意代码等。

CNVD收录的相关漏洞包括：IBM Aspera Cargo and IBM Aspera Connect信息泄露漏洞、IBM Aspera Faspex信息泄露漏洞（CNVD-2023-76768、CNVD-2023-76766、CNVD-2023-76773）、IBM Aspera Faspex安全绕过漏洞、IBM Aspera Cargo and IBM Aspera Connect代码执行漏洞（CNVD-2023-76772、CNVD-2023-76771）、IBM Aspera Connect and IBM Aspera Cargo缓冲区溢出漏洞。其中，“IBM Aspera Cargo and IBM Aspera Connect代码执行漏洞（CNVD-2023-76772、CNVD-2023-76771）、IBM Aspera Connect and IBM Aspera Cargo缓冲区溢出漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe Bridge是一款功能强大的创意资源管理器，可让用户快速轻松地预览、组织、编辑和发布多个创意资源，编辑元数据，为素材资源添加关键字、标签和评分。Adobe Bridge使用集合组织资产，并使用强大的过滤器和高级元数据搜索功能查找资产。Adobe Illustrator是一套基于向量的图像制作软件。Adobe After Effects是一套视觉效果和动态图形制作软件，该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe InDesign是一套排版编辑应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过ASLR等缓解措施，导致敏感内存泄露，导致缓冲区溢出或堆溢出，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Photoshop缓冲区溢出漏洞（CNVD-2023-76927）、Adobe Bridge越界读取漏洞（CNVD-2023-76928）、Adobe Illustrator缓冲区溢出漏洞（CNVD-2023-76932、CNVD-2023-76930、CNVD-2023-76935、CNVD-2023-76933）、Adobe After Effects越界读取漏洞（CNVD-2023-76938）、Adobe InDesign缓冲区溢出漏洞（CNVD-2023-76940）。其中，除“Adobe Bridge越界读取漏洞（CNVD-2023-76928）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DELL产品安全漏洞

Dell SmartFabric Storage Software是美国戴尔（Dell）公司的一个独立的存储软件解决方案。Dell Wyse Management Suite是一套用于管理和优化Wyse端点的、可扩展的解决方案。该产品包括Wyse端点集中管理、资产追踪和自动设备发现等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取写入日志文件的敏感信息，导致未经授权的数据访问，在系统上执行任意命令等。

CNVD收录的相关漏洞包括：Dell SmartFabric storage software命令注入漏洞、Dell SmartFabric Storage Software输入验证错误漏洞、Dell SmartFabric Storage Software权限提升漏洞、Dell SmartFabric Storage Software路径遍历漏洞、Dell SmartFabric Storage Software访问控制错误漏洞、Dell SmartFabric Storage Software操作系统命令注入漏洞（CNVD-2023-77958、CNVD-2023-78231）、Dell Wyse Management Suite信息泄露漏洞。其中，“Dell SmartFabric storage software命令注入漏洞、Dell SmartFabric Storage Software权限提升漏洞、Dell SmartFabric Storage Software操作系统命令注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-806命令执行漏洞

D-Link DIR-806是中国友讯（D-Link）公司的一款无线路由器。上周，D-Link DIR-806被披露存在命令执行漏洞。攻击者可利用该漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞在系统上获取更高的权限。此外，IBM、Adobe、Dell等多款产品被披露存在多个漏洞，攻击者可利用漏洞读取写入日志文件的敏感信息，使用特制的XML输入获取敏感的凭据信息，导致缓冲区溢出或堆溢出，在当前用户的上下文中执行任意代码等。另外，D-Link DIR-806被披露存在命令执行漏洞。攻击者可利用该漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、证券日报、邮储银行+、广发银行、中原银行、晋商银行、微青银、杭州银行、上海农商银行、广东农信报道

责任编辑：韩希宇