近期,CNVD發(fā)布了一批重要的安全漏洞信息,涉及面廣、后果較為嚴(yán)重,建議用戶根據(jù)自身情況盡快排查和處理。

1、Google產(chǎn)品安全漏洞

Google Chrome是一款Web瀏覽器。Android是美國谷歌(Google)公司和開放手持設(shè)備聯(lián)盟(簡稱OHA)共同開發(fā)的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞獲取敏感信息,提升權(quán)限,執(zhí)行任意代碼等。

CNVD收錄的相關(guān)漏洞包括:

Google Chrome不可信輸入驗證漏洞

Google Chrome for android信息泄露漏洞

Google Chrome SVG對象類型混淆漏洞

Google Android Framework權(quán)限提升漏洞

Google Chrome命令執(zhí)行漏洞

Google Android NVIDIA組件權(quán)限提升漏洞

Google Chrome QUIC網(wǎng)絡(luò)實現(xiàn)錯誤漏洞

Google Chrome V8負(fù)0錯誤處理漏洞

其中,“Google Android Framework權(quán)限提升漏洞、Google Android NVIDIA組件權(quán)限提升漏洞”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。用戶應(yīng)當(dāng)及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

2、Microsoft產(chǎn)品安全漏洞

Windows采用了圖形化模式GUI。Windows Subsystem for Linux(簡稱WSL)是一個為在Windows 10和Windows Server 2019上能夠原生運行Linux二進制可執(zhí)行文件(ELF格式)的兼容層。Edge是微軟為Windows 10打造的瀏覽器。Microsoft Office是一款辦公軟件套件產(chǎn)品。Microsoft SharePoint是一套企業(yè)業(yè)務(wù)協(xié)作平臺。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞執(zhí)行跨站腳本攻擊,獲取敏感信息,執(zhí)行任意代碼。

CNVD收錄的相關(guān)漏洞包括:

Microsoft Edge Chakra腳本引擎內(nèi)存破壞漏洞(CNVD-2019-07383、CNVD-2019-07384、CNVD-2019-07386、CNVD-2019-07385、CNVD-2019-07387)

Microsoft Windows Kernel信息泄露漏洞

Microsoft Office Access Connectivity Engine遠(yuǎn)程代碼執(zhí)行漏洞

Microsoft Office SharePoint跨站腳本漏洞

其中,除“Microsoft Windows Kernel信息泄露漏洞、Microsoft Office SharePoint跨站腳本漏洞”外,其余漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。用戶應(yīng)對及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

3、libssh2產(chǎn)品安全漏洞

libssh2是一款實現(xiàn)SSH2協(xié)議的客戶端C庫,它能夠執(zhí)行遠(yuǎn)程命令、文件傳輸,同時為遠(yuǎn)程的程序提供安全的傳輸通道。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞造成拒絕服務(wù)或讀取客戶端內(nèi)存中的數(shù)據(jù),在客戶端系統(tǒng)上執(zhí)行代碼。

CNVD收錄的相關(guān)漏洞包括:

libssh2整數(shù)溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799、CNVD-2019-07797、CNVD-2019-07800、CNVD-2019-07801、CNVD-2019-07802、CNVD-2019-07803)

其中,“libssh2整數(shù)溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799)”的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

4、WordPress產(chǎn)品安全漏洞

WordPress是一套使用PHP語言開發(fā)的博客平臺,該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。本周,該產(chǎn)品被披露存在打開重定向漏洞,攻擊者可利用漏洞進行網(wǎng)絡(luò)釣魚詐騙并竊取用戶憑據(jù)。

CNVD收錄的相關(guān)漏洞包括:

WordPress UsaMusic-PCThemes打開重定向漏洞

WordPress Concise Themes打開重定向漏洞

WordPress 2018110612035976 Themes打開重定向漏洞

WordPress BigChrome Themes打開重定向漏洞

WordPress Zangai Themes打開重定向漏洞

WordPress Wngzs Themes打開重定向漏洞

WordPress itiis Themes打開重定向漏洞

WordPress Themes打開重定向漏洞

目前,互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了針對該漏洞的攻擊代碼,廠商尚未發(fā)布該漏洞的修補程序。用戶應(yīng)隨時關(guān)注廠商主頁以獲取最新版本。

5、LayerBB SQL注入漏洞

LayerBB是一套小型論壇軟件。本周,LayerBB被披露存在SQL注入漏洞。遠(yuǎn)程攻擊者可通過向search.php文件發(fā)送‘search_query’參數(shù)利用該漏洞執(zhí)行SQL命令。廣大用戶最好隨時關(guān)注廠商主頁,以獲取最新版本。