国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞349个，互联网上出现“Tenda AC10U formSetDeviceName函数堆栈缓冲区溢出漏洞、Yifan YF325缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

农业银行开展2024年“3·15”金融消费者权益保护教育宣传活动

3月5日至18日，农业银行开展2024年“3·15”金融消费者权益保护教育宣传活动，主题口号为“金融消保在身边 保障权益防风险”。>>详细

聚焦“3·15”消费者权益日 守护信用卡安全消费环境

“3·15”期间，交通银行信用卡中心积极践行金融为民思想，持续开展反诈教育活动，为增强消费者防骗、识骗、拒骗能力贡献自身力量。>>详细

防范养老诈骗，共护幸福晚年

近期，一些不法分子利用“代理退保”“以房养老”“投资理财”等方式“套路”诈骗消费者，尤其令老年人“防不胜防”，严重侵害老年消费者合法权益。>>详细

反诈专栏 | 别成为骗子的帮凶！看恒丰小“桂圆”如何智堵诈骗款

恒丰银行温馨提醒：银行交易需谨慎，自己卡开首已用。出借他人帮小忙，或恐成为替罪羊。租售卡片恐涉诈，贪图小利获刑罚。不听不借慎转账，共筑反诈厚屏障。>>详细

安全课堂 | 免费领取游戏礼包？当心金融诈骗陷阱

作为家长要加强对孩子的反诈教育，对来历不明的电话、短信、链接做到不理、不点；对网络上陌生人搭讪发放的“礼包”、“红包”，坚决不听、不信。>>详细

【启动】内蒙古银行2024年“3·15”金融消费者权益保护教育宣传活动

坚持以人民为中心的价值取向，以提升消费者金融素养和金融安全意识、增强依法维权意识和能力为目的，宣导金融政策、提示金融风险，倡导理性投资理念。>>详细

防诈|信用卡诈骗套路解析

信用卡具有消费、透支、转账、取现等多项功能，提供极为便利的金融服务，但伴随便利的同时也存在风险，悦小e带大家了解如何防范信用卡欺诈风险。>>详细

【知识】提高警惕，谨防这类电信网络诈骗手段！

只要谈到钱，不要仅凭网络聊天，一定要拨打对方电话、见面、签字，再三确认。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年2月26日-3月3日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞349个，其中高危漏洞135个、中危漏洞196个、低危漏洞18个。漏洞平均分值为6.43。上周收录的漏洞中，涉及0day漏洞251个（占72%），其中互联网上出现“Tenda AC10U formSetDeviceName函数堆栈缓冲区溢出漏洞、Yifan YF325缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得提升的权限，在系统上执行任意代码，或者导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome堆缓冲区溢出漏洞（CNVD-2024-10412）、Google Chrome内存错误引用漏洞（CNVD-2024-10413、CNVD-2024-10414、CNVD-2024-10415）、Google Android权限提升漏洞（CNVD-2024-10417、CNVD-2024-10418、CNVD-2024-10423）、Google Android代码执行漏洞（CNVD-2024-10419）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM PowerSC是美国国际商业机器（IBM）公司的一款用于IBM Power Systems服务器的安全和合规性解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞暴力破解帐户凭据，访问未经授权的用户，注入恶意的HTML代码等。

CNVD收录的相关漏洞包括：IBM PowerSC加密问题漏洞（CNVD-2024-09945）、IBM PowerSC跨站脚本漏洞、IBM PowerSC点击劫持漏洞、IBM PowerSC信息泄露漏洞（CNVD-2024-09941、CNVD-2024-09950）、IBM PowerSC会话固定漏洞（CNVD-2024-09948、CNVD-2024-09951）、IBM PowerSC认证错误漏洞。其中，“IBM PowerSC信息泄露漏洞（CNVD-2024-09950）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是电子邮件客户端软件，支持IMAP、POP邮件协议以及HTML邮件格式。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码或导致拒绝服务等。

CNVD收录的相关漏洞包括：多款Mozilla产品代码执行漏洞、Mozilla Firefox拒绝服务漏洞（CNVD-2024-10431、CNVD-2024-10432、CNVD-2024-10435、CNVD-2024-10437）、多款Mozilla产品安全绕过漏洞（CNVD-2024-10434）、多款Mozilla产品权限提升漏洞（CNVD-2024-10433）、多款Mozilla产品拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Companion是德国思爱普（SAP）公司的一款SAP的协同服务器。SAP ABA (Application Basis) 是一款由SAP开发的应用事务管理系统。SAP IDES Systems是德国思爱普（SAP）公司的一款交互式演示与教育系统。SAP Cloud Connector是德国思爱普（SAP）公司的一个工具，用于建立本地系统与 SAP Cloud Platform 之间的安全连接。SAP S/4HANA是德国思爱普（SAP）公司的一个基于SAP HANA内存数据库系统的的企业资源管理软件。SAP NetWeaver ABAP Server是德国思爱普（SAP）公司的一个用作SAP产品的Web应用程序服务器。SAP NetWeaver AS是德国思爱普（SAP）公司的一款SAP网络应用服务器。它不仅能提供网络服务，且还是SAP软件的基本平台。SAP Application Interface Framework（SAP AIF）是德国思爱普（SAP）公司的一个应用程序接口框架。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得对数据的访问权限，执行任意代码，导致权限升级等。

CNVD收录的相关漏洞包括：SAP Companion跨站脚本漏洞、SAP ABA代码注入漏洞、SAP IDES Systems命令注入漏洞、SAP Cloud Connector信任管理问题漏洞（CNVD-2024-10198）、SAP S/4HANA授权问题漏洞（CNVD-2024-10202）、SAP NetWeaver ABAP Server跨站脚本漏洞（CNVD-2024-10201）、SAP NetWeaver AS跨站脚本漏洞（CNVD-2024-10206）、SAP Application Interface Framework跨站脚本漏洞。其中，“SAP ABA代码注入漏洞、SAP Cloud Connector信任管理问题漏洞（CNVD-2024-10198）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Hyperledger Ursa信息泄露漏洞

Hyperledger Ursa是Hyperledger开源的一个与区块链一起使用的密码库。上周，Hyperledger Ursa被披露存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获得提升的权限，在系统上执行任意代码，或者导致应用程序崩溃。此外，IBM、Mozilla、SAP等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获得对数据的访问权限，注入恶意的HTML代码，在系统上执行任意代码或导致拒绝服务等。另外，Hyperledger Ursa被披露存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国农业银行、交通银行、兴业银行、恒丰银行总行、北京银行微银行、内蒙古银行、广东农信、江西辖内农商银行微银行报道

责任编辑：韩希宇