国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞517个，互联网上出现“Yifan YF325 cgi_handler函数缓冲区溢出漏洞、Yifan YF325 gozila_cgi函数缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

金融反诈“新春画像”：帆布包与红绿灯上的“防诈秘籍”

随着科技的飞速发展，金融诈骗手法日益翻新，各类骗术防不胜防，给投资者的财产安全带来了极大威胁。>>详细

筑牢反诈“防火墙” 守好群众“钱袋子”

属地警方高度重视，迅速抵达网点，经问讯了解后，将该两名人员带走，随后根据该线索成功打掉1个涉诈团伙。>>详细

正确合规用卡 保障支付安全

银行卡的用卡常识覆盖多个方面，包括办卡安全、支付安全、资金安全、个人信息安全、征信安全等常识。>>详细

反诈专栏 | 尊敬的企业主，这些您需要知道！

恒丰银行收集典型企业电信诈骗案例，邀您识别诈骗套路，让骗子无处遁形！>>详细

反诈进行时｜精准研判 积极协作 成功截留百万涉案资金

总行风控人员根据经验远程指导网点顶住客户投诉压力并立即联系属地反诈中心，最终成功截留涉诈资金109万元，有效协助该案件取得重大突破、资金顺利返还至33位被害人。>>详细

【消保黔行】远离非法集资，共度幸福新年

犯罪分子诡计多端，投资理财要擦亮眼睛，切实增强风险防范意识，自觉远离非法集资！>>详细

【金融安全】警惕不法贷款中介诱导消费者违规转贷

近期一些不法中介发掘“商机”，向消费者推介房贷转经营贷，宣称可以“转贷降息”，诱导消费者使用中介过桥资金结清房贷，再到银行办理经营贷归还过桥资金。>>详细

【知识】春节期间，这几点千万注意！捂住钱袋子，不给诈骗分子可乘之机！

在相关网站输入账号、手机号、密码等重要信息前要谨慎核实域名真实性，不点击可疑链接，不扫描不明二维码，谨防钓鱼陷阱。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年2月5日-18日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞517个，其中高危漏洞188个、中危漏洞305个、低危漏洞24个。漏洞平均分值为6.16。上周收录的漏洞中，涉及0day漏洞438个（占85%），其中互联网上出现“Yifan YF325 cgi_handler函数缓冲区溢出漏洞、Yifan YF325 gozila_cgi函数缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM Tivoli Application Dependency Discovery Manager（TADDM）是美国国际商业机器（IBM）公司的一套IT服务管理解决方案中的产品。该产品提供了健全的自动化应用程序映射和发现，帮助管理员了解业务应用程序的结构、状态、配置和变更历史记录。IBM Security Access Manager是一款应用于信息安全管理的产品。该产品通过面向Web、移动和云计算的集成设备来实现访问管理控制。IBM Cloud Pak System是一套具有可配置、预集成软件的全栈、融合基础架构。该产品支持跨混合云部署、管理和移动应用程序环境。IBM Tivoli Application Dependency Discovery Manager（TADDM）是一套IT服务管理解决方案中的产品。该产品提供了健全的自动化应用程序映射和发现，帮助管理员了解业务应用程序的结构、状态、配置和变更历史记录。IBM Security Verify Access（ISAM）是一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT和云技术等平台安全简单的访问。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，消耗内存资源，提升权限等。

CNVD收录的相关漏洞包括：IBM Tivoli Application Dependency Discovery Manager权限提升漏洞、IBM Security Access Manager未授权访问漏洞、IBM Cloud Pak System信息泄露漏洞（CNVD-2024-07607）、IBM Tivoli Application Dependency Discovery Manager HTTP头部注入漏洞、IBM Security Verify Access权限提升漏洞、IBM Security Verify Access拒绝服务漏洞、IBM Security Access Manager数据伪造问题漏洞、IBM Security Access Manager XML外部实体注入漏洞。其中，“IBM Security Access Manager未授权访问漏洞、IBM Cloud Pak System信息泄露漏洞（CNVD-2024-07607）、IBM Tivoli Application Dependency Discovery Manager HTTP头部注入漏洞、IBM Security Access Manager XML外部实体注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码，获得提升的特权等。

CNVD收录的相关漏洞包括：Google Chrome安全绕过漏洞（CNVD-2024-07840）、Google Chrome Canvas模块内存错误引用漏洞、Google Chrome Network模块内存错误引用漏洞、Google Chrome WebRTC模块内存错误引用漏洞、Google Chrome Reading Mode模块内存错误引用漏洞、Google Chrome Passwords模块内存错误引用漏洞、Google Chrome Web Audio模块内存错误引用漏洞、Google Android权限提升漏洞（CNVD-2024-07854）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致cgroup blkio内存泄漏，系统崩溃，提升权限等。

CNVD收录的相关漏洞包括：Linux Kernel资源管理错误漏洞（CNVD-2024-08096、CNVD-2024-08091、CNVD-2024-08094、CNVD-2024-08093）、Linux kernel拒绝服务漏洞（CNVD-2024-08090）、Linux kernel代码问题漏洞（CNVD-2024-08095、CNVD-2024-08087）、Linux Kernel ksmbd SMB2_SESSION_SETUP拒绝服务漏洞。其中，“Linux Kernel ksmbd SMB2_SESSION_SETUP拒绝服务漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上获得提升的权限等 。

CNVD收录的相关漏洞包括：Microsoft Edge for Android欺骗漏洞、Microsoft Edge for Android信息泄露漏洞、Microsoft Edge (Chromium-based)安全绕过漏洞、Microsoft Edge (Chromium-based)信息泄露漏洞（CNVD-2024-07804、CNVD-2024-07803）、Microsoft Edge (Chromium-based)权限提升漏洞（CNVD-2024-07816、CNVD-2024-07817、CNVD-2024-07793）。其中，“Microsoft Edge (Chromium-based)安全绕过漏洞、Microsoft Edge (Chromium-based)权限提升漏洞（CNVD-2024-07816、CNVD-2024-07817）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TOTOLINK EX1800T lanIp参数命令执行漏洞

TOTOLINK EX1800T是中国吉翁电子（TOTOLINK）公司的一款Wi-Fi范围扩展器。上周，TOTOLINK EX1800T被披露存在命令执行漏洞。攻击者可利用此漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，消耗内存资源，提升权限等。此外，Google、Linux、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上执行任意代码，获得提升的特权等。另外，TOTOLINK EX1800T被披露存在命令执行漏洞。攻击者可利用此漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、证券日报、中国民生银行股份有限公司、平安银行、恒丰银行总行、杭州银行微讯、贵州银行、广西北部湾银行微生活、江西辖内农商银行微银行报道

责任编辑：韩希宇