国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞600个，互联网上出现“WAVLINK WN531G3访问控制错误漏洞、Linux kernel内存错误引用漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【以案说险】网络“玄学”不可信，实事求是避骗局！

随着网络的发达，免费在线测八字”“线上占卜问吉凶”等算命信息充斥着各大社交平台和网站，披着“网络马甲”躲在屏幕后面的所谓“大师”和“大数据”极有可能是网络诈骗。>>详细

反洗钱课堂来啦！警惕落入洗钱陷阱

保护个人信息很重要，反洗钱“四不要”要牢记！打击反洗钱犯罪从你我做起！>>详细

【消保黔行】别让“世界杯”变成“世界悲”！

心莫贪，擦亮眼，时刻绷紧防范之弦，谨防新型网络诈骗，让骗子无从下手。>>详细

【金融知识】树立理性投资观念 共享数字金融安全

老年群体由于闲置资金较多、记忆力衰退、网络知识不足、辨识能力和风险意识薄弱，易成为不法分子侵害的重点对象。>>详细

【指南】守住养老钱，这些套路您得知道

收好这份防电信诈骗指南，光大银行助您守住养老钱。>>详细

【以案说险】守护个人信息，保护财产安全

不要轻信来历不明的电话和手机短信，需要通过其他渠道核实。切莫贪图小恩小惠。>>详细

敲黑板！盲目投资不可取，高息回报须警惕

理财有方，投资有道，切忌盲目跟风投资，一定要认清风险。>>详细

数据安全治理如何为银行风控管理与合规建设提供关键助力？

数据安全(Data Security)是指以数据为中心的安全体系，以数据的采集、传输、存储、处理(使用)、交换(共享)、销毁等覆盖全生命周期的安全为目标，侧重于从数据产生到销毁的全生命周期保护。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年12月5日-11日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞600个，其中高危漏洞259个、中危漏洞297个、低危漏洞44个。漏洞平均分值为6.41。上周收录的漏洞中，涉及0day漏洞347个（占58%），其中互联网上出现“WAVLINK WN531G3访问控制错误漏洞、Linux kernel内存错误引用漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Windows Print Spooler是其中的一个打印后台处理程序。Microsoft Windows DWM Core Library是美国微软（Microsoft）公司的一个核心库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以更高的权限执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Windows DWM Core Library权限提升漏洞（CNVD-2022-84603）、Microsoft Windows Print Spooler权限提升漏洞（CNVD-2022-84604、CNVD-2022-84605）、Microsoft Windows DNS Server远程代码执行漏洞（CNVD-2022-84606、CNVD-2022-84607、CNVD-2022-84608、CNVD-2022-84609、CNVD-2022-84610）。其中，除“Microsoft Windows DWM Core Library权限提升漏洞（CNVD-2022-84603）、Microsoft Windows Print Spooler权限提升漏洞（CNVD-2022-84604、CNVD-2022-84605）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码，或者导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome Extensions代码执行漏洞、Google Chrome安全绕过漏洞（CNVD-2022-85084）、Google Chrome Media Galleries缓冲区溢出漏洞、Google Chrome Layout代码执行漏洞、Google Chrome V8代码执行漏洞（CNVD-2022-85088）、Google Chrome安全绕过漏洞（CNVD-2022-85089）、Google Chrome Accessibility代码执行漏洞、Google Chrome Feedback service代码执行漏洞。上述漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell BSAFE Micro Edition Suite是一个可为c/c++应用、设备、系统提供加密、证书和传输层安全性的开发工具包。Dell BIOS是美国戴尔（Dell）公司的一个计算机主板上小型内存芯片上的嵌入式软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过向SMI发送恶意输入来绕过在SMM中的安全控制，可执行任意代码，造成拒绝服务攻击等。

CNVD收录的相关漏洞包括：Dell BSAFE Micro Edition Suite缓冲区溢出漏洞（CNVD-2022-84622）、Dell BIOS输入验证错误漏洞（CNVD-2022-85079、CNVD-2022-85078、CNVD-2022-85077、CNVD-2022-85076、CNVD-2022-85082、CNVD-2022-85081、CNVD-2022-85080）。其中，除“Dell BSAFE Micro Edition Suite缓冲区溢出漏洞（CNVD-2022-84622）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM WebSphere Application Server Liberty是美国国际商业机器（IBM）公司的一款构建于Open Liberty项目之上的Java应用程序服务器。IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM AIX是美国国际商业机器（IBM）公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM Sterling Partner Engagement Manager是美国IBM公司的一个自动化管理工具。IBM UrbanCode Deploy（UCD）是美国IBM公司的一套应用自动化部署工具。该工具基于一个应用部署自动化管理信息模型，并通过远程代理技术，实现对复杂应用在不同环境下的自动化部署等。IBM OPENBMC是美国国际商用机器公司（IBM）公司的一个模拟器。IBM InfoSphere Information Server是美国国际商业机器（IBM）公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，发起拒绝服务攻击等。

CNVD收录的相关漏洞包括：IBM WebSphere Application Server Liberty拒绝服务漏洞、IBM Db2信息泄露漏洞（CNVD-2022-85416）、IBM AIX和VIOS权限提升漏洞、IBM DB2跨站请求伪造漏洞、IBM Sterling Partner Engagement Manager XML外部实体注入漏洞、IBM UrbanCode Deploy信息泄露漏洞、IBM OPENBMC拒绝服务漏洞、IBM InfoSphere Information Server信息泄露漏洞（CNVD-2022-85418）。其中，“IBM DB2跨站请求伪造漏洞、IBM Sterling Partner Engagement Manager XML外部实体注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-882 webGetVarString函数缓冲区溢出漏洞

D-Link DIR-882是中国友讯（D-Link）公司的一款无线路由器。上周，D-Link DIR-882被披露存在缓冲区溢出漏洞。该漏洞源于其webGetVarString函数对输入数据缺乏长度验证，攻击者可利用漏洞导致拒绝服务或者远程代码执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞以更高的权限执行任意代码。此外，Google、Dell、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，在系统上执行任意代码，或者导致应用程序崩溃等。另外，D-Link DIR-882被披露存在缓冲区溢出漏洞。攻击者可利用漏洞导致拒绝服务或者远程代码执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、交通银行微银行、中国光大银行、河北银行、贵州银行、广东南粤银行、锦州银行报道

责任编辑：韩希宇