近期,CNVD發(fā)布了一批重要的安全漏洞信息,涉及面廣、后果較為嚴(yán)重,建議用戶根據(jù)自身情況盡快排查和處理。

1、Google產(chǎn)品安全漏洞

Google Chrome是一款Web瀏覽器。Android是美國(guó)谷歌(Google)公司和開(kāi)放手持設(shè)備聯(lián)盟(簡(jiǎn)稱OHA)共同開(kāi)發(fā)的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,提升權(quán)限,執(zhí)行任意代碼等。

CNVD收錄的相關(guān)漏洞包括:

Google Chrome不可信輸入驗(yàn)證漏洞

Google Chrome for android信息泄露漏洞

Google Chrome SVG對(duì)象類型混淆漏洞

Google Android Framework權(quán)限提升漏洞

Google Chrome命令執(zhí)行漏洞

Google Android NVIDIA組件權(quán)限提升漏洞

Google Chrome QUIC網(wǎng)絡(luò)實(shí)現(xiàn)錯(cuò)誤漏洞

Google Chrome V8負(fù)0錯(cuò)誤處理漏洞

其中,“Google Android Framework權(quán)限提升漏洞、Google Android NVIDIA組件權(quán)限提升漏洞”的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。用戶應(yīng)當(dāng)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

2、Microsoft產(chǎn)品安全漏洞

Windows采用了圖形化模式GUI。Windows Subsystem for Linux(簡(jiǎn)稱WSL)是一個(gè)為在Windows 10和Windows Server 2019上能夠原生運(yùn)行Linux二進(jìn)制可執(zhí)行文件(ELF格式)的兼容層。Edge是微軟為Windows 10打造的瀏覽器。Microsoft Office是一款辦公軟件套件產(chǎn)品。Microsoft SharePoint是一套企業(yè)業(yè)務(wù)協(xié)作平臺(tái)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞執(zhí)行跨站腳本攻擊,獲取敏感信息,執(zhí)行任意代碼。

CNVD收錄的相關(guān)漏洞包括:

Microsoft Edge Chakra腳本引擎內(nèi)存破壞漏洞(CNVD-2019-07383、CNVD-2019-07384、CNVD-2019-07386、CNVD-2019-07385、CNVD-2019-07387)

Microsoft Windows Kernel信息泄露漏洞

Microsoft Office Access Connectivity Engine遠(yuǎn)程代碼執(zhí)行漏洞

Microsoft Office SharePoint跨站腳本漏洞

其中,除“Microsoft Windows Kernel信息泄露漏洞、Microsoft Office SharePoint跨站腳本漏洞”外,其余漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。用戶應(yīng)對(duì)及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

3、libssh2產(chǎn)品安全漏洞

libssh2是一款實(shí)現(xiàn)SSH2協(xié)議的客戶端C庫(kù),它能夠執(zhí)行遠(yuǎn)程命令、文件傳輸,同時(shí)為遠(yuǎn)程的程序提供安全的傳輸通道。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞造成拒絕服務(wù)或讀取客戶端內(nèi)存中的數(shù)據(jù),在客戶端系統(tǒng)上執(zhí)行代碼。

CNVD收錄的相關(guān)漏洞包括:

libssh2整數(shù)溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799、CNVD-2019-07797、CNVD-2019-07800、CNVD-2019-07801、CNVD-2019-07802、CNVD-2019-07803)

其中,“libssh2整數(shù)溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799)”的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

4、WordPress產(chǎn)品安全漏洞

WordPress是一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái),該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。本周,該產(chǎn)品被披露存在打開(kāi)重定向漏洞,攻擊者可利用漏洞進(jìn)行網(wǎng)絡(luò)釣魚(yú)詐騙并竊取用戶憑據(jù)。

CNVD收錄的相關(guān)漏洞包括:

WordPress UsaMusic-PCThemes打開(kāi)重定向漏洞

WordPress Concise Themes打開(kāi)重定向漏洞

WordPress 2018110612035976 Themes打開(kāi)重定向漏洞

WordPress BigChrome Themes打開(kāi)重定向漏洞

WordPress Zangai Themes打開(kāi)重定向漏洞

WordPress Wngzs Themes打開(kāi)重定向漏洞

WordPress itiis Themes打開(kāi)重定向漏洞

WordPress Themes打開(kāi)重定向漏洞

目前,互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對(duì)該漏洞的攻擊代碼,廠商尚未發(fā)布該漏洞的修補(bǔ)程序。用戶應(yīng)隨時(shí)關(guān)注廠商主頁(yè)以獲取最新版本。

5、LayerBB SQL注入漏洞

LayerBB是一套小型論壇軟件。本周,LayerBB被披露存在SQL注入漏洞。遠(yuǎn)程攻擊者可通過(guò)向search.php文件發(fā)送‘search_query’參數(shù)利用該漏洞執(zhí)行SQL命令。廣大用戶最好隨時(shí)關(guān)注廠商主頁(yè),以獲取最新版本。