信息安全周报|银行人“火眼金睛”筑牢金融安全 选择正规理财渠道防范诈骗

（原标题：信息安全周报|银行人“火眼金睛”筑牢金融安全 选择正规理财渠道防范诈骗）

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞326个，互联网上出现“Milesight UR32L firewall_handler_set函数缓冲区溢出漏洞（CNVD-2023-55360、CNVD-2023-55361）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》

网络安全保险是为网络安全风险提供保险保障的新兴险种，日益成为转移、防范网络安全风险的重要工具，在推进网络安全社会化服务体系建设中发挥着重要作用。>>详细

【反诈】与您有关！《反电信网络诈骗法》您了解多少？

学法、懂法、守法，同心协力、从我做起，自己的卡自己用，切记莫借他人，个人信息很重要，务必加强保护。>>详细

反诈专栏 | 守护您的“钱袋子” 看银行人如何炼就“火眼金睛”

要学习了解银行卡使用常识，绝不向陌生人汇款、转账。>>详细

12人已成功移送起诉、实现突破性全链条打击 广发信用卡协助警方推动金融“黑灰产”重拳打击

广发信用卡内部建立了横跨数个部门的金融“黑灰产”专项小组，不断优化打击“黑灰产”的顶层体系和制度设计。>>详细

筑牢金融安全防线 兴业银行长沙分行成功堵截涉诈资金

近日，兴业银行长沙分行下辖常德分行一网点以高度的社会责任感和警惕性，成功拦截50万元涉诈资金，为受害者挽回了经济损失。>>详细

【反洗钱】警惕洗钱陷阱，远离毕业困惑

又到了一年毕业季，即将离开校园，走向工作岗位的您，是否已经做好准备？面对形形色色的诱惑，您是否能够正确选择呢？下面就让小编带您看看毕业季的困惑，一起揭开洗钱的面纱！>>详细

【安全小课堂】选择正规理财渠道，防范非法集资诈骗！

随着大众投资意识的提高，理财投资受到越来越多的关注和追捧。这背后常有一些打着“零风险、高收益”的“伪金融”“假理财”的非法集资诈骗频现。如何甄别和防范此类非法集资诈骗呢？>>详细

普及|信用卡遗失和损坏小常识

广东农信提醒您，妥善存放信用卡，是保障个人信息及财产安全的第一道防线。>>详细

蜜蜂信用卡安全用卡小知识

鄞州银行温馨提醒：合理、规范、安全使用信用卡，树立理性消费观。珍惜个人信用，谨记用卡安全，保障个人财产。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年7月10日-16日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞326个，其中高危漏洞152个、中危漏洞156个、低危漏洞18个。漏洞平均分值为6.42。上周收录的漏洞中，涉及0day漏洞249个（占76%），其中互联网上出现“Milesight UR32L firewall_handler_set函数缓冲区溢出漏洞（CNVD-2023-55360、CNVD-2023-55361）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader资源管理错误漏洞（CNVD-2023-55032、CNVD-2023-55035、CNVD-2023-55034、CNVD-2023-55033、CNVD-2023-55038、CNVD-2023-55037、CNVD-2023-55036）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-55030）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox ESR是美国Mozilla基金会的Firefox（Web浏览器）的一个延长支持版本。Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞使应用程序崩溃或以应用程序上下文执行任意代码等。

CNVD收录的相关漏洞包括：Mozilla Firefox ESR缓冲区溢出漏洞（CNVD-2023-55348）、Mozilla Firefox缓冲区溢出漏洞（CNVD-2023-55349、CNVD-2023-55351、CNVD-2023-55350、CNVD-2023-55354）、Mozilla Firefox代码问题漏洞（CNVD-2023-55355）、Mozilla Firefox ESR拒绝服务漏洞（CNVD-2023-55353）、Mozilla Firefox资源管理错误漏洞（CNVD-2023-55356）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。Apache Airflow Hive Provider是一个使用SQL读取、写入和管理分布式存储中的大型数据集的工具包。Apache StreamPipes是美国阿帕奇（Apache）基金会的一个自助式（工业）物联网工具箱，使非技术用户能够连接、分析和探索IIoT数据流。Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务。

CNVD收录的相关漏洞包括：Apache Hive Provider代码执行漏洞、Apache Airflow JDBC Provider代码执行漏洞、Apache Airflow ODBC Provider远程代码执行漏洞、Apache StreamPipes权限提升漏洞、Apache Airflow信息泄露漏洞（CNVD-2023-55401）、Apache Struts拒绝服务漏洞（CNVD-2023-55422、CNVD-2023-55432）、Apache Traffic Server拒绝服务漏洞（CNVD-2023-55453）。其中，除“Apache Traffic Server拒绝服务漏洞（CNVD-2023-55453）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-55374、CNVD-2023-55375、CNVD-2023-55377、CNVD-2023-55378、CNVD-2023-55380、CNVD-2023-55381）、Google Android代码执行漏洞（CNVD-2023-55382）、Google Android信息泄露漏洞（CNVD-2023-55376）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress插件Tags Cloud Manager跨站脚本漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。上周，WordPress插件Tags Cloud Manager被披露存在跨站脚本漏洞。漏洞是由于用户提供的输入验证不当造成的。攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，Mozilla、Apache、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务等。另外，WordPress插件Tags Cloud Manager被披露存在跨站脚本漏洞。攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、证券日报网、工业和信息化部网络安全管理局、中国建设银行、恒丰银行总行、哈尔滨银行、杭州银行微讯、广东农信、鄞州银行报道