信息安全周報|《反電信網絡詐騙法》知識普及 云證書加碼手機銀行安全

國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞469個，互聯網上出現“GPAC緩沖區溢出漏洞（CNVD-2022-66588）、ZZCMS index php信息泄露漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

小鄭課堂｜《反電信網絡詐騙法》知識普及

反電信網絡詐騙法共七章50條，包括總則、電信治理、金融治理、互聯網治理、綜合措施、法律責任、附則等。>>詳細

姣姣課堂 | 警惕虛擬貨幣投資 粉碎“餡餅”濾鏡

近年來，隨著虛擬貨幣的興起，一些不法分子也緊跟“潮流”，利用互聯網平臺進行虛擬交易，將詐騙“餡餅”滲透到生活中。>>詳細

安全加碼 | 開通云證書，安全更便捷

云證書是青島銀行與中國金融認證中心(CFCA)推出的一種可靠、高效、便捷數字簽名的安全認證工具。>>詳細

【反詐】防騙口訣來咯！守護您的“錢袋子”

接到電話不用慌，不給密碼不轉賬；中獎短信不輕信，天上不會掉餡餅；個人信息很重要，時時刻刻保護好。>>詳細

【消保以案說險】“屏幕共享”后錢不翼而飛？小心，別中招！

提升個人信息保護意識，不與陌生人開啟“屏幕共享”不在“屏幕共享”的情況下打開支付軟件、銀行賬戶等操作界面或進行涉及輸入密碼、轉賬匯款等相關操作。>>詳細

助力提升公眾金融素養 營口銀行組織開展金融聯合教育宣傳活動

咨詢員為前來辦理業務的客戶講解金融知識，包括如何安全使用手機銀行和網上銀行，如何安全用卡，如何識別假幣，如何防范電信詐騙等，加強營業網點宣傳力度。>>詳細

【詐騙防范】如何防范電信詐騙，中銀E貸教您識別套路

一旦發現賬戶資金有異常變動，立刻凍結、掛失，并向當地公安機關報告。>>詳細

@所有用戶：一文讀懂數字證書申請、使用這些事兒！

您可以在各類場景使用數字證書，如網銀或手機銀行轉賬、在線簽署電子合同、在線辦理相關業務等。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年9月26日-10月9日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞469個，其中高危漏洞151個、中危漏洞226個、低危漏洞92個。漏洞平均分值為5.79。上周收錄的漏洞中，涉及0day漏洞238個（占51%），其中互聯網上出現“GPAC緩沖區溢出漏洞（CNVD-2022-66588）、ZZCMS index php信息泄露漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-65631、CNVD-2022-65633、CNVD-2022-65639、CNVD-2022-65636、CNVD-2022-65640、CNVD-2022-65641、CNVD-2022-65642）、Google Android代碼執行漏洞（CNVD-2022-65638）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是美國微軟（Microsoft）公司的一套個人設備使用的操作系統。Microsoft Windows Kernel是美國微軟（Microsoft）公司的Windows操作系統的內核。Microsoft Windows Installer是美國微軟（Microsoft）公司的Windows 操作系統的一個組件。為安裝和卸載軟件提供了標準基礎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，導致權限提升，造成拒絕服務。

CNVD收錄的相關漏洞包括：Microsoft Windows Secure Channel拒絕服務漏洞、Microsoft Windows Telephony Serve權限提升漏洞、Microsoft Windows Upgrade Assistant遠程代碼執行漏洞、Microsoft Windows Kernel信息泄露漏洞（CNVD-2022-65612）、Microsoft Windows Digital Media Receiver提升權限漏洞、Microsoft Windows Endpoint Configuration Manager權限提升漏洞、Microsoft Windows Installer權限提升漏洞、Microsoft Windows iSCSI Target Service信息泄露漏洞。其中，“Microsoft Windows Telephony Serve權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe Photoshop是一個由Adobe公司開發和發行的應用軟件，用于圖像處理。Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取任意文件，在當前用戶的上下文中執行任意代碼，導致緩沖區溢出等。

CNVD收錄的相關漏洞包括：Adobe Bridge資源管理錯誤漏洞（CNVD-2022-66014、CNVD-2022-66013）、Adobe Photoshop緩沖區溢出漏洞（CNVD-2022-66018、CNVD-2022-66021、CNVD-2022-66022）、Adobe InDesign緩沖區溢出漏洞（CNVD-2022-66017）、Adobe Bridge緩沖區溢出漏洞（CNVD-2022-66015）、Adobe Experience Manager跨站腳本漏洞（CNVD-2022-66019）。其中，除“Adobe Bridge資源管理錯誤漏洞（CNVD-2022-66014）、Adobe InDesign緩沖區溢出漏洞（CNVD-2022-66017）、Adobe Experience Manager跨站腳本漏洞（CNVD-2022-66019）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Security Identity Governance and Intelligence（IGI）是美國IBM公司的一套身份治理解決方案。該產品包括生命周期管理、訪問風險評估和身份認證管理等功能。IBM Cognos Controller是美國IBM公司的一套商業智能與計劃解決方案。該產品具有流程自動化、財務審計控制、創建和管理財務報告等功能。IBM InfoSphere Information Server是美國IBM公司的一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。IBM Guardium Data Encryption是獲取定價信息、用于保護數據和業務的加密解決方案 。IBM Engineering Requirements Quality Assistant是美國IBM公司的一款基于Watson AI用于輔助開發人員提高工程需求質量的軟件。該應用可顯著降低發現缺陷成本，有利于盡早發現工程流程中的需求錯誤，加快產品上市。IBM Data Virtualization on Cloud Pak for Data是美國IBM公司的一種云原生解決方案?？勺屇焖俑咝У厥褂脭祿?。IBM Business Automation Workflow是美國IBM公司的一套工作流程自動化解決方案。該產品主要用于工作流程管理、合規性管理，并具有工作流程可見性和可擴展等特點。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息或消耗內存資源，在Web UI中嵌入任意JavaScript代碼，造成應用拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Security Identity Governance and Intelligence信息泄露漏洞（CNVD-2022-66259）、IBM Cognos Controller XML外部實體注入漏洞（CNVD-2022-66264、CNVD-2022-66265）、IBM InfoSphere Information Server跨站腳本漏洞（CNVD-2022-66262）、IBM Guardium Data Encryption信息泄漏漏洞（CNVD-2022-66261）、IBM Engineering Requirements Quality Assistant拒絕服務漏洞、IBM Data Virtualization on Cloud Pak for Data信息泄露漏洞、IBM Business Automation Workflow和Business Process Manager信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Linux kernel拒絕服務漏洞（CNVD-2022-66585）

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，Linux kernel被披露存在拒絕服務漏洞。攻擊者可利用該漏洞通過io_uring觸發Linux kernel的內存損壞，從而導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在系統上執行任意代碼。此外，Microsoft、Adobe、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞讀取任意文件，獲取敏感信息，執行任意代碼，導致權限提升，造成拒絕服務等。另外，Linux kernel被披露存在拒絕服務漏洞。攻擊者可利用該漏洞通過io_uring觸發Linux kernel的內存損壞，從而導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀行微銀行、交通銀行、鄭州銀行、微青銀、桂林銀行金融服務、營口銀行、東莞銀行報道

責任編輯：韓希宇