国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞376个，互联网上出现“Tenda AC10U fromAddressNat函数堆栈缓冲区溢出漏洞、Tenda AC10U fromDhcpListClient函数堆栈缓冲区溢出漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

国家金融监督管理总局：警惕不法金融中介陷阱

若发现自己陷入不法金融中介陷阱，应注意保存证据并第一时间向当地公安机关报案。>>详细

【消保】反诈小剧场：防范投资理财骗局

这么高的收益真的靠谱嘛？有没有可能是诈骗呀？您要不要再了解了解这家公司再做决定？>>详细

网络金融安全课堂丨这些反洗钱知识您get到了吗？

随着互联网技术的迅速发展，手机银行、个人网银等非面对面业务迅速普及，极大提高了银行交易效率。与此同时，网络金融洗钱风险也在随之增加。>>详细

反诈新台阶，境外分行（香港）上线HKMA电子银行安保新10条

香港金融监管局HKMA通函提示，要求旗下所属银行业主体于2024年3月31日前新增10项新措施加强电子银行保安，以防止骗子通过电子银行账户进行可疑交易。>>详细

苏说消保微课堂丨防范电信诈骗，享受幸福人生

不要点击不明链接，不要将资产转入所谓的“安全账户”。>>详细

消保为民 | 防范“征信修复”骗局

社会上不断出现以“征信修复”、“征信洗白”为诱饵的电信网络诈骗，社会公众不仅无法借此删除不良信用记录，还存在信息泄露、上当受骗、钱财损失的风险。>>详细

4·15全民国家安全教育日 | 维护金融安全，共筑国家安全防线

维护国家金融安全，不仅需要金融机构强化审慎合规的经营理念，同时还需要广大金融消费者加强风险防范意识，维护自身合法权益。>>详细

【消保以案说险】退费补偿？当心“馅饼”变“陷阱”

正规退费流程一般以原路返还的形式返还给本人缴费账号，凡是退款时附加购买商品或支付费用条件的，都是要提高警惕！>>详细

服务暖行丨江西·农商银行成功拦截多起电信网络诈骗

凡是遇到陌生网站（链接、二维码）要登记银行卡信息的，都是电信诈骗。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年4月8日-14日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞376个，其中高危漏洞158个、中危漏洞201个、低危漏洞17个。漏洞平均分值为6.34。上周收录的漏洞中，涉及0day漏洞314个（占84%），其中互联网上出现“Tenda AC10U fromAddressNat函数堆栈缓冲区溢出漏洞、Tenda AC10U fromDhcpListClient函数堆栈缓冲区溢出漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Chrome安全绕过漏洞（CNVD-2024-16875、CNVD-2024-16881）、Google Chrome代码执行漏洞（CNVD-2024-16876、CNVD-2024-16880、CNVD-2024-16883、CNVD-2024-16937）、Google Chrome信息泄露漏洞（CNVD-2024-16879）、Google Android权限提升漏洞（CNVD-2024-16882）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell PowerProtect Data Manager（PPDM）是美国戴尔（Dell）公司的一套数据保护解决方案。该产品支持数据备份、虚拟机备份和数据库保护等功能。Dell OpenManage Enterprise是美国戴尔（Dell）公司的一款用于IT基础架构管理的易于使用的一对多系统管理控制台。Dell vApp Manager是美国戴尔（Dell）公司的一个虚拟应用程序管理器。Dell ECS是美国戴尔（Dell）公司的一款可扩展、易于管理且具有弹性的企业级对象存储解决方案。Dell BSAFE Micro Edition Suite是美国戴尔（Dell）公司的一个可为c/c++应用、设备、系统提供加密、证书和传输层安全性的开发工具包。Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。Dell NetWorker是美国戴尔（Dell）公司的一个应用程序。提供戴尔公司的论坛讨论功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Dell OpenManage Enterprise路径遍历漏洞、Dell PowerProtect Data Manager XML外部实体注入漏洞、Dell vApp Manager操作系统命令注入漏洞（CNVD-2024-16927、CNVD-2024-16928）、Dell ECS不正确访问控制漏洞、Dell BSAFE Micro Edition Suite信息泄露漏洞、Dell PowerScale OneFS权限提升漏洞（CNVD-2024-16933）、Dell NetWorker信息泄露漏洞。其中，“Dell vApp Manager操作系统命令注入漏洞（CNVD-2024-16927、CNVD-2024-16928）、Dell ECS不正确访问控制漏洞、Dell BSAFE Micro Edition Suite信息泄露漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM InfoSphere Information Server是美国国际商业机器（IBM）公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM App Connect Enterprise是美国国际商业机器（IBM）公司的一个操作系统。IBM Integration Bus（IBM WebSphere Message Broker）是美国国际商业机器（IBM）公司的一款企业服务总线（ESB）产品。该产品为面向服务架构（SOA）环境和非SOA环境提供连通性和通用数据转换。IBM CICS Transaction Gateway是美国国际商业机器（IBM）公司的一个用于企业CICS资产现代化的连接器。IBM Cloud Pak for Business Automation是美国国际商业机器（IBM）公司的一组模块化的集成软件组件，专为任何混合云而构建，旨在实现工作自动化和加速业务增长。IBM Security Verify Directory是美国国际商业机器（IBM）公司的一款身份验证和访问管理解决方案的一部分。IBM Storage Protect Plus Server是美国国际商业机器（IBM）公司的一款IBM Storage软件，可为虚拟机、数据库、应用程序、文件系统、SaaS工作负载和容器提供恢复、复制、保留和复用功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息等。

CNVD收录的相关漏洞包括：IBM InfoSphere Information Server日志信息泄露漏洞、IBM App Connect Enterprise and IBM Integration Bus for z/OS信息泄露漏洞、IBM CICS Transaction Gateway for Multiplatforms信息泄露漏洞、IBM Cloud Pak for Business Automation访问控制错误漏洞（CNVD-2024-16917）、IBM Security Verify Directory信息泄露漏洞（CNVD-2024-16925、CNVD-2024-16924）、IBM Storage Protect Plus Server信息泄露漏洞（CNVD-2024-16923）、IBM Storage Protect Plus Server访问控制错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit Reader和Foxit PhantomPDF都是中国福昕（Foxit）公司的一款PDF文档阅读器。Foxit PDF Editor是一款PDF编辑器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞写入任意文件，在系统上执行代码。

CNVD收录的相关漏洞包括：Foxit PDF Reader和PDF Editor代码执行漏洞、Foxit PDF Reader Doc Object代码执行漏洞、Foxit PDF Reader AcroForm Annotation类型混淆代码执行漏洞、Foxit PDF Reader缓冲区溢出漏洞（CNVD-2024-17009）、Foxit PDF Reader远程代码执行漏洞（CNVD-2024-17008）、Foxit PDF Reader AcroForm代码执行漏洞（CNVD-2024-17007、CNVD-2024-17006）、Foxit Reader和Foxit PhantomPDF任意文件写入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Technicolor TC8715D跨站脚本漏洞

Technicolor TC8715D是法国特艺（Technicolor）公司的一个无线路由器。上周，Technicolor TC8715D被披露存在跨站脚本漏洞。攻击者可利用该漏洞获取用户cookie等敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，在系统上执行任意代码。此外，Dell、IBM、Foxit等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，写入任意文件，在系统上执行任意代码，导致拒绝服务等。另外，Technicolor TC8715D被披露存在跨站脚本漏洞。攻击者可利用漏洞获取用户cookie等敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家金融监督管理总局、中信银行、兴业银行、晋商银行、江苏银行、桂林银行金融服务、江西辖内农商银行、兴业数金报道

责任编辑：韩希宇