国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞475个，互联网上出现“novel-plus文件上传漏洞、 Personnel Property Equipment System跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

关于防范冒用金融监管名义实施诈骗的风险提示

国家金融监督管理总局发布消费者权益保护风险提示，提醒广大金融消费者提高警惕，增强反诈意识和识别能力，保护好个人信息和财产安全。>>详细

反诈安全播报，请查收

陌生好友需警惕，领导身份核仔细，交易指令莫轻信，转账汇款不大意。>>详细

工行员工及时防范AI换脸诈骗，帮客户避免损失100万

这是新型AI换脸诈骗，骗子只需要拿到一张带脸的照片，就可以换人脸，实施诈骗，一定要警惕！>>详细

以案说险，警惕AI换脸新骗局

眼见不一定为实，有图也不一定就是真相，可通过仔细观看人物眨眼、情绪变化、画面停顿或变色等情况识别“假脸”。>>详细

安全课堂 | 乐享暑假，谨防未成年人掉入电信网络诈骗陷阱

家长要保护好个人手机和支付账户，设置并保护好开机和打开软件的数字或手势密码，防止孩子使用自己的手机及支付账户转账或付款。>>详细

“适老”有温度｜老年人投资理财风险提示

老年投资者可参加正规机构组织的线上线下金融消费者权益保护教育宣传活动，积累必要的投资理财知识，提高风险识别能力。>>详细

【消保宣传】提升安全防范意识，谨防电信诈骗！

广州农商银行消保小卫士总结了一些常见的电信诈骗情况，希望大家在遇到类似情况时，能更加警惕，有效防范电信诈骗。>>详细

用卡知识小讲堂|如何安全用卡？

日常生活中，无论是旅游还是消费，都离不开银行卡。用卡注意事项来啦！>>详细

【防诈指南】这份暑期防诈指南请查收！

如需兼职，请通过正规渠道；任何需要垫资的网络刷单都是诈骗；千万不要缴纳任何违约金、保证金、解冻金等，切莫陷入“低投入、高回报”的陷阱。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年7月3日-9日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞475个，其中高危漏洞306个、中危漏洞157个、低危漏洞12个。漏洞平均分值为6.98。上周收录的漏洞中，涉及0day漏洞410个（占86%），其中互联网上出现“novel-plus文件上传漏洞、Personnel Property Equipment System跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升，通过蓝牙远程执行代码等。

CNVD收录的相关漏洞包括：Google Android输入验证错误漏洞（CNVD-2023-53154、CNVD-2023-53156、CNVD-2023-53163）、Google Android逻辑缺陷漏洞（CNVD-2023-53155）、Google Android资源管理错误漏洞（CNVD-2023-53161、CNVD-2023-53160）、Google Android加密问题漏洞（CNVD-2023-53159）、Google Android代码问题漏洞（CNVD-2023-53158）。其中，“Google Android资源管理错误漏洞（CNVD-2023-53160）、Google Android加密问题漏洞（CNVD-2023-53159）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft SharePoint Server是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft SharePoint Server欺骗漏洞（CNVD-2023-53461、CNVD-2023-53462）、Microsoft Excel远程代码执行漏洞（CNVD-2023-53904、CNVD-2023-53906）、Microsoft Excel安全功能绕过漏洞（CNVD-2023-53907）、Microsoft Excel代码执行漏洞（CNVD-2023-53908、CNVD-2023-53909、CNVD-2023-53911）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。Adobe Substance 3D Designer是美国奥多比（Adobe）公司的一款3D设计软件。Adobe Photoshop是一个由Adobe开发和发行的应用软件，用于图像处理。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入精心设计的有效载荷执行任意Web脚本或HTML，在系统上执行任意代码或者导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2023-54543）、Adobe Experience Manager输入验证错误漏洞（CNVD-2023-54542）、Adobe Animate资源管理错误漏洞、Adobe Substance 3D Designer缓冲区溢出漏洞、Adobe Animate缓冲区溢出漏洞（CNVD-2023-54550）、Adobe Photoshop缓冲区溢出漏洞（CNVD-2023-54549、CNVD-2023-54551）、Adobe Photoshop资源管理错误漏洞（CNVD-2023-54548）。其中，除“Adobe Experience Manager跨站脚本漏洞（CNVD-2023-54543）、Adobe Experience Manager输入验证错误漏洞（CNVD-2023-54542）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务，提交特殊的请求，可以内核上下文执行任意代码，提升权限等。

CNVD收录的相关漏洞包括：Linux kernel vidtv_mux_stop_thread拒绝服务漏洞、Linux kernel gsmld_write拒绝服务漏洞、Linux Kernel资源管理错误漏洞（CNVD-2023-54414）、Linux Kernel缓冲区溢出漏洞（CNVD-2023-54413）、inux Kernel RxRPC竞争条件问题漏洞、Linux kernel信息泄露漏洞（CNVD-2023-54416）、Linux kernel拒绝服务漏洞（CNVD-2023-54415、CNVD-2023-54619）。其中，“Linux Kernel拒绝服务漏洞（CNVD-2023-54619）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

北京星网锐捷网络技术有限公司RG-BCR860操作系统命令注入漏洞

RG-BCR860是中国锐捷网络（Ruijie Networks）公司的一款商业云路由器。上周，北京星网锐捷网络技术有限公司RG-BCR860被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升，通过蓝牙远程执行代码等。此外，Microsoft、Adobe、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，在系统上执行任意代码，提升权限等。另外，北京星网锐捷网络技术有限公司RG-BCR860操作系统被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家金融监督管理总局、工商银行、浦发银行、北京银行微银行、甘肃银行、江西银行、广州农村商业银行、广东农信报道

责任编辑：韩希宇