国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞425个，互联网上出现“Geeklog grp_desc参数跨站脚本漏洞、PortlandLabs Concrete CMS跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

反诈识诈 | “成功”企业团队的秘诀是……

反诈识诈，安全支付，普及金融知识，守护支付安全。>>详细

【防骗】网购虽快乐，也别放松警惕，这几件事可能藏着风险

涉及主动要求参与网络兼职刷单、办理网购退款理赔、退订取消“VIP会员、保险”等业务的，八成是诈骗，请提高警惕，不要轻易向陌生人转账汇款。>>详细

消保小课堂｜老年人该如何识别诈骗陷阱守住养老钱呢？

多学习金融知识，了解金融产品的特征、办理流程及金融常识，增强风险识别能力。>>详细

消保为民 | 如何识别非法金融广告

金融消费者要提高警惕，谨慎识别非法金融广告，对广告内容进行充分了解和分析，并采取相应的防范措施。>>详细

“以案说险”｜勿点不明链接，守护支付安全

提高支付安全意识，请通过正规渠道进行支付，切勿点击不明链接，防范因信息泄露导致的银行卡盗刷风险。>>详细

“百万保障”续费骗局，它又双叒叕来了！

妥善保管好个人信息，切勿轻易向陌生账户转账，谨慎与陌生人进行手机屏幕共享，避免落入不法分子的诈骗圈套！>>详细

中消协提醒消费者防范“网络购物退货退款”骗术

在日常生活中要提高个人信息保护意识，不随意点击陌生链接，不扫描陌生二维码，不下载陌生软件，不加入陌生群聊，尤其是要保护好自己的身份证号、银行卡账号、验证码等重要信息，预防网络诈骗。>>详细

数智反诈｜揭秘！这次阻截可疑资金的竟然是……

杭州银行某支行在办理客户取现业务时，柜面系统突然显示已自动暂停该笔取现并出现风险提示。>>详细

【保定银行】开展金融消费者权益保护知识进校园活动

近期，保定银行成功举办了两场金融消费者权益保护知识进校园活动。活动分别在保定学院和河北工艺美术职业学院举行，保定银行及多家金融机构宣讲代表以及保定学院、河北工艺美术职业学院师生共同参加。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年10月30日-11月5日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞425个，其中高危漏洞177个、中危漏洞229个、低危漏洞19个。漏洞平均分值为6.34。上周收录的漏洞中，涉及0day漏洞364个（占86%），其中互联网上出现“Geeklog grp_desc参数跨站脚本漏洞、PortlandLabs Concrete CMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，获得提升的特权。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-82060、CNVD-2023-82061、CNVD-2023-82066、CNVD-2023-82067、CNVD-2023-82070）、Google Android代码执行漏洞（CNVD-2023-82068、CNVD-2023-82071）、Google Android onCreate模块授权问题漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IQ Centralized Management是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，修改BIG-IP边缘客户端的请求和响应，在系统上执行任意系统命令，导致进程终止等。

CNVD收录的相关漏洞包括：F5 BIG-IP远程代码执行漏洞（CNVD-2023-82300）、F5 BIG-IP和BIG-IQ Centralized Management拒绝服务漏洞、F5 BIG-IP信息泄露漏洞（CNVD-2023-82304）、F5 BIG-IP Edge Client for Windows和macOS安全绕过漏洞（CNVD-2023-82305、CNVD-2023-82306）、F5 BIG-IP拒绝服务漏洞（CNVD-2023-82307）、F5 BIG-IP路径遍历漏洞（CNVD-2023-82309）、F5 BIG-IP资源管理错误漏洞。其中，“F5 BIG-IP远程代码执行漏洞（CNVD-2023-82300）、F5 BIG-IP Edge Client for Windows和macOS安全绕过漏洞（CNVD-2023-82306）、F5 BIG-IP拒绝服务漏洞（CNVD-2023-82307）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe Media Encoder是美国奥多比（Adobe）公司的一款音、视频编码应用程序。Adobe Connect是美国奥多比（Adobe）公司的一个用于创建会议环境的软件。Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问未经授权的数据，在系统上执行任意代码或者导致拒绝服务等。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2023-82284）、Adobe InDesign缓冲区溢出漏洞（CNVD-2023-82288）、Adobe Media Encoder缓冲区溢出漏洞（CNVD-2023-82287）、Adobe Connect跨站脚本漏洞（CNVD-2023-82286）、Adobe Acrobat and Reader越界读取漏洞（CNVD-2023-82289）、Adobe Commerce授权问题漏洞（CNVD-2023-82676）、Adobe Commerce跨站脚本漏洞（CNVD-2023-82675）、Adobe Commerce SQL注入漏洞。其中，“Adobe InDesign缓冲区溢出漏洞（CNVD-2023-82288）、Adobe Commerce授权问题漏洞（CNVD-2023-82676）、Adobe Commerce跨站脚本漏洞（CNVD-2023-82675）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是美国微软（Microsoft）公司的一套个人设备使用的操作系统。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞远程执行代码。

CNVD收录的相关漏洞包括：Microsoft Windows Layer 2 Tunneling Protocol远程代码执行漏洞（CNVD-2023-81880、CNVD-2023-81879、CNVD-2023-81878、CNVD-2023-81883、CNVD-2023-81882、CNVD-2023-81881、CNVD-2023-81885、CNVD-2023-81884）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TeleAdapt RoomCast TA-2400信任管理问题漏洞

TeleAdapt RoomCast TA-2400是英国TeleAdapt公司的一款适用于客房的一体化、自带的顶级内容流媒体盒。上周，TeleAdapt RoomCast TA-2400被披露存在信任管理问题漏洞。攻击者可利用该漏洞伪造密钥。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，获得提升的特权。此外，F5、Adobe、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，修改BIG-IP边缘客户端的请求和响应，在系统上执行任意系统命令，导致拒绝服务等。另外，TeleAdapt RoomCast TA-2400被披露存在信任管理问题漏洞。攻击者可利用该漏洞伪造密钥。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、银联北京、中国工商银行客户服务、邮储银行+、平安银行、兴业银行、保定银行、杭州银行微讯、晋商银行报道

责任编辑：韩希宇