信息安全周报|人脸识别、APP备案、个人支付信息迎新规 青少年、老人警惕诈骗新花样

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞396个，互联网上出现“AdvanceMAME堆栈缓冲区溢出漏洞、Milesight UR32L firewall_handler_set函数缓冲区溢出漏洞（CNVD-2023-61192）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

国家互联网信息办公室关于《人脸识别技术应用安全管理规定（试行）（征求意见稿）》公开征求意见的通知

(资料图片)

使用人脸识别技术验证个人身份、辨识特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。>>详细

一图读懂APP备案

设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续。>>详细

支付清算协会：个人支付信息不应提供给非业务相关方

原则上，支付业务主体不应在支付业务以外的情形下使用个人支付信息。>>详细

鲤想金融小课堂：青少年防范欺诈案例

暑期也是青少年诈骗案件高发期，在享受美好假期的同时，要记得防范电信网络诈骗，让我们一起来看看和青少年有关的电信诈骗案例吧~>>详细

以案说险 | 警惕信用卡提额骗局

不法分子常常自称银行工作人员，以多种形式骗取受害者资金，常见的手段包括“担保账户”、不明网站链接、暗中绑定APP等。>>详细

警惕五种养老服务诈骗新花样

民政部日前发布《关于养老服务领域非法集资的风险提示》，提醒老年人自觉远离非法集资，防范合法权益受到侵害。>>详细

【消保小讲堂】警惕贷款中介不法行为侵害

谎称“银行内部关系”保证放款的，收取各类手续费的，提供不明贷款链接的，都不能信！定要选择正规机构办理贷款！>>详细

【消保】防电诈小常识了解一下

投资理财，请认准银行、有资质的证券公司等正规途径！切勿盲目相信所谓的“投资导师”、“炒股专家”。>>详细

知识讲堂|防范用卡风险，保障用卡安全

信用卡作为便捷的金融支付工具，日益受到广大消费者青睐，因此，用卡安全日益备受重视，在此提醒广大持卡人不要将信用卡出租、出借或交由他人保管以免造成损失。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年7月31日-8月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞396个，其中高危漏洞210个、中危漏洞172个、低危漏洞14个。漏洞平均分值为6.69。上周收录的漏洞中，涉及0day漏洞336个（占85%），其中互联网上出现“AdvanceMAME堆栈缓冲区溢出漏洞、Milesight UR32L firewall_handler_set函数缓冲区溢出漏洞（CNVD-2023-61192）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。上周，上述产品被披露存在越界读取漏洞，攻击者可利用漏洞导致内存泄露。

CNVD收录的相关漏洞包括：Adobe InDesign越界读取漏洞（CNVD-2023-59724、CNVD-2023-59723、CNVD-2023-59725、CNVD-2023-59726、CNVD-2023-59728、CNVD-2023-59727、CNVD-2023-59729、CNVD-2023-59731）。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens SIMATIC CN 4100是德国西门子（Siemens）公司的一个通信节点。RUGGEDCOM产品提供了一定程度的稳健性和可靠性，为部署在恶劣环境中的通信网络设定了标准。Siemens Teamcenter Visualization是德国西门子（Siemens）公司的一个可为设计2D、3D场景提供团队协作功能的软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码，获得管理员访问权限，从而完全控制设备等。

CNVD收录的相关漏洞包括：Siemens SIMATIC CN 4100访问控制不当漏洞、Siemens RUGGEDCOM ROX命令注入漏洞（CNVD-2023-60606、CNVD-2023-60607、CNVD-2023-60609、CNVD-2023-60608、CNVD-2023-60610、CNVD-2023-60611）、Siemens Teamcenter Visualization缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2023-59950、CNVD-2023-59952、CNVD-2023-59957、CNVD-2023-59956）、Mozilla Firefox缓冲区溢出漏洞（CNVD-2023-59954）、Mozilla Firefox跨站脚本漏洞（CNVD-2023-59953）、Mozilla Firefox权限许可和访问控制问题漏洞（CNVD-2023-59955）、Mozilla Firefox资源管理错误漏洞（CNVD-2023-59959）。其中，除“Mozilla Firefox信息泄露漏洞（CNVD-2023-59950、CNVD-2023-59957）、Mozilla Firefox跨站脚本漏洞（CNVD-2023-59953）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得提升的权限，在系统上执行任意代码或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-60890、CNVD-2023-60902、CNVD-2023-60903）、Google Android Framework代码执行漏洞（CNVD-2023-60900、CNVD-2023-60937）、Google Android权限提升漏洞（CNVD-2023-60938）、Google Chrome V8代码执行漏洞（CNVD-2023-60939）、Google Chrome WebXR代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TeleAdapt RoomCast TA-2400权限提升漏洞

TeleAdapt RoomCast TA-2400是英国TeleAdapt公司的一款适用于客房的一体化、自带的顶级内容流媒体盒。上周，TeleAdapt RoomCast TA-2400被披露存在权限提升漏洞。该漏洞是由于Android调试桥（ADB）的权限管理不当造成的。攻击者可利用该漏洞获得提升的root权限。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在越界读取漏洞，攻击者可利用漏洞导致内存泄露。此外，Siemens、Mozilla、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在当前进程的上下文中执行代码，获得管理员访问权限，从而完全控制设备等。另外，TeleAdapt RoomCast TA-2400被披露存在权限提升漏洞。攻击者可利用该漏洞获得提升的root权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部、中国网信网、中国证券报·中证网、廊坊银行、微青银、桂林银行金融服务、云南红塔银行、昆仑银行、广东农信报道

关键词：