信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN

Size: px

Start display at page:

Download "信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN"

地陆宗
4 years ago
Views:

1 信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了接报漏洞情况本周接报漏洞 412 个, 其中信息技术产品漏洞 ( 通用型漏洞 )6 个, 网络信息系统漏洞 ( 事件型漏洞 )406 个 1

2 一公开漏洞情况根据国家信息安全漏洞库 (CNNVD) 统计, 本周新增安全漏洞 365 个, 漏洞新增数量有所上升从厂商分布来看, 其中 Microsoft 公司新增漏洞最多, 共有 62 个 ; 从漏洞类型来看, 跨站脚本类的安全漏洞占比最大, 达到 10.68% 本周新增漏洞中, 超危漏洞 7 个, 高危漏洞 27 个, 中危漏洞 244 个, 低危漏洞 87 个相应修复率分别为 % % 77.87% 以及 65.52% 根据补丁信息统计, 合计 281 个漏洞已有修复补丁发布, 整体修复率为 76.99% 截至 2018 年 9 月 16 日,CNNVD 发布漏洞总量已达个 ( 一 ) 安全漏洞增长数量情况本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了 7.99% 图 1 为近五周漏洞新增数量统计图图 1 近五周漏洞新增数量统计图 ( 二 ) 安全漏洞分布情况从厂商分布来看, 本周 Microsoft 公司新增漏洞最多, 共 62 个各厂商漏洞数量分布如表 1 所示 2

3 表 1 Top 5 厂商新增安全漏洞统计表序号厂商名称漏洞数量所占比例 1 Microsoft % 2 Intel % 3 SAP % 4 IBM % 5 Adobe % 本周国内厂商漏洞共 3 个, 华为 (Huawei) 公司漏洞数量最多, 共 3 个本周国内厂商漏洞整体修复率为 100% 请受影响用户关注厂商修复情况, 及时下载补丁修复漏洞从漏洞类型来看, 本周跨站脚本类的安全漏洞相对占比最大, 达到 10.68% 漏洞类型统计如表 2 所示表 2 漏洞类型统计表序号漏洞类型漏洞数量所占比例 1 跨站脚本 % 2 缓冲区错误 % 3 信息泄露 % 4 权限许可和访问控制 % 5 SQL 注入 % 6 路径遍历 % 7 跨站请求伪造 % 8 命令注入 % 9 输入验证 % 10 授权问题 % 11 操作系统命令注入 % 12 访问控制错误 % 13 数字错误 % 14 代码注入 % 15 格式化字符串 % ( 三 ) 安全漏洞危害等级与修复情况本周共发布超危漏洞 7 个, 高危漏洞 27 个, 中危漏洞 244 个, 低危漏洞 87 个相应修复率分别为 % % 77.87% 以及 3

4 65.52% 合计 281 个漏洞已有修复补丁发布, 整体修复率为 76.99% 详细情况如表 3 所示表 3 漏洞危害等级与修复情况序号危害等级漏洞数量修复数量修复率 1 超危 % 2 高危 % 3 中危 % 4 低危 % 合计 % ( 四 ) 本周重要漏洞实例本周重要漏洞实例如表 4 所示表 4 本周重要漏洞实例序号漏洞类型漏洞编号厂商漏洞实例是否修复危害等级 1 访问控制错误 CNNVD Siemens Siemens SIMATIC WinCC OA 访问控制错误漏洞是超危 2 权限许可和访问控制 CNNVD Microsoft Microsoft Windows 权限许可和访问控制漏洞是高危 1. Siemens SIMATIC WinCC OA 访问控制错误漏洞 (CNNVD ) Siemens SIMATIC WinCC OA(Open Architecture) 是德国西门子 (Siemens) 公司的一套 SCADA 系统, 也是 HMI 系列的一个组成部分该系统主要适用于轨道交通楼宇自动化和公共电力供应等行业 Siemens SIMATIC WinCC OA V3.14 及之前版本中存在访问控制错误漏洞远程攻击者可利用该漏洞提升权限, 影响 SIMATIC WinCC OA 系统的完整性和可用性解决措施 : 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : 4

5 s/cert.html#securitypublications 2. Microsoft Windows 权限许可和访问控制漏洞 (CNNVD ) Microsoft Windows 10 等都是美国微软 (Microsoft) 公司发布的一系列操作系统 Microsoft Windows 10 是一套个人电脑使用的操作系统 Windows Server 2008 SP2 是一套服务器操作系统 Microsoft Windows 中存在提权漏洞, 该漏洞源于程序没有正确地处理高级本地过程调用 (ALPC) 调用本地攻击者可通过登录系统并运行特制的应用程序利用该漏洞在本地系统的安全上下文中执行任意代码以下版本受到影响 : - Microsoft Windows Server Microsoft Windows Server 2012 R2 - Microsoft Windows Server Microsoft Windows Server 2008 R2 SP1 - Microsoft Windows Server 2008 SP2 - Microsoft Windows Server 版本 Microsoft Windows Server 版本 Microsoft Windows Microsoft Windows 7 SP1 - Microsoft Windows 10 版本 Microsoft Windows 10 版本 Microsoft Windows 10 版本

6 - Microsoft Windows 10 版本 Microsoft Windows 10 解决措施 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : N/security-guidan ce/advisory/cve 二接报漏洞情况本周接报漏洞 412 个, 其中信息技术产品漏洞 ( 通用型漏洞 )6 个, 网络信息系统漏洞 ( 事件型漏洞 )406 个序号报送单位网神信息技术 ( 北京 ) 股份有限公司北京数字观星科技有限公司上海斗象信息科技有限公司中新网络信息安全股份有限公司四川虹微技术有限公司国发中新 ( 北京 ) 科技发展有限公司内蒙古奥创科技有限公司北京知道创宇信息技术有限公司 404 实验室北京长亭科技有限公司表 4 本周漏洞报送情况漏洞总量通用型漏洞事件型漏洞

7 报送总计三重大漏洞预警 CNNVD 关于微软多个安全漏洞的通报近日, 微软官方发布了多个安全漏洞的公告, 包括 Internet Explorer 内存损坏漏洞 (CNNVD CVE ) Microsoft Excel(CNNVD CVE ) 远程代码执行漏洞等多个漏洞成功利用上述安全漏洞的攻击者, 可以在目标系统上执行任意代码微软多个产品和系统受漏洞影响目前, 微软官方已经发布补丁修复了上述漏洞, 建议用户及时确认是否受到漏洞影响, 尽快采取修补措施 1. 漏洞介绍本次漏洞公告涉及 Microsoft Excel Internet Explorer Microsoft Edge PDF Microsoft 脚本引擎 Microsoft.NET Framework Windows Hyper-V Chakra 脚本引擎等 Windows 平台下应用软件和组件漏洞详情见表 1 表 1 微软多个安全漏洞列表序号漏洞名称漏洞编号漏洞简介 1 Internet Explorer 内存损坏漏洞 ( CNNVD CVE ) ( CNNVD Internet Explorer 部分版本存在远程代码执行漏洞, 当 Internet Explorer 不正确地访问内存中的对象时, 可触发该漏洞成功 7

8 CVE ) 利用该漏洞的攻击者可以获得与当前用户相同的用户权限 2 Microsoft Excel 远程代码执行漏洞 3 Microsoft 脚本引擎内存损坏漏洞 (CNNVD CVE ) ( CNNVD CVE ) ( CNNVD CVE ) ( CNNVD CVE ) 当 Microsoft Excel 软件无法正确处理内存中的对象时会触发该漏洞成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码脚本引擎在 Microsoft 浏览器中处理内存对象的可能触发该漏洞攻击者可以在当前用户的上下文中执行任意代码从而损坏内存成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限 4 Microsoft.NET Framework 远程代码执行漏洞 5 Microsoft Edge PDF 远程执行代码漏洞 6 Windows 远程执行代码漏洞 ( CNNVD CVE ) ( CNNVD CVE ) ( CNNVD CVE ) ( CNNVD CVE ) 当 Microsoft.NET Framework 处理不受信任的输入时可能会触发该漏洞成功利用漏洞的攻击者可以控制受影响的系统攻击者可任意安装程序查看更改或删除数据或者创建新帐户当 Microsoft Edge PDF 阅读器不正确地处理内存中的对象时会触发该漏洞成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限当 Windows 不正确地处理经特殊设计的图像文件时会触发漏洞成功利用此漏洞的攻击者可以执行任意代码若要利用此漏洞, 攻击者必须诱骗用户下载图像文件 7 Windows Hyper-V ( CNNVD 当主机服务器上的 Windows Hyper-V 无法 8

9 远程执行代码漏洞 CVE ) ( CNNVD CVE ) 正确验证用户操作系统上经身份验证的用户的输入时会触发该漏洞成功利用此漏洞的攻击者可以执行任意代码 8 Windows 内核信息泄漏漏洞 9 Chakra 脚本引擎内存损坏漏洞 CNNVD CVE ( CNNVD CVE ) ( CNNVD CVE ) 当 Windows 内核不正确地处理内存中的对象时会触发该漏洞成功利用此漏洞的攻击者可以获取信息, 从而进一步入侵用户系统已经过身份验证的攻击者可以通过运行经特殊设计的应用程序来利用此漏洞 Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的时可能触发该漏洞成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限 ( CNNVD CVE ) 10 Win32k 图形组件远程执行代码漏洞 11 MS XML 远程执行代码漏洞 ( CNNVD CVE ) ( CNNVD CVE ) ( CNNVD CVE ) 当 Windows 字体库不正确地处理经特殊设计的嵌入字体时可能触发该漏洞成功利用此漏洞的攻击者可以控制受影响系统攻击者可任意安装程序查看更改或删除数据或者创建新帐户当 Microsoft XML Core Services MSXML 分析器处理用户输入时可能触发该漏洞成功利用此漏洞的攻击者可以远程运行恶意代码控制用户的系统 2. 修复建议 9

10 目前, 微软官方已经发布补丁修复了上述漏洞, 建议用户及时确认漏洞影响, 尽快采取修补措施微软官方链接地址如下 : 序号漏洞名称官方链接 1 Internet Explorer 内存损坏漏洞 (CNNVD CVE ) (CNNVD CVE ) Microsoft Excel 远程执行代码漏洞 (CNNVD CVE ) 3 Microsoft 脚本引擎内存损坏漏洞 (CNNVD CVE ) (CNNVD CVE ) (CNNVD CVE ) (CNNVD CVE ) 4 Microsoft.NET Framework 远程代码执行漏洞 (CNNVD CVE ) 5 Microsoft Edge PDF 远程执行代码漏洞 (CNNVD CVE ) 6 Windows 远程执行代码漏洞

11 (CNNVD CVE ) Windows Hyper-V 远程执行代码漏洞 (CNNVD CVE ) (CNNVD CVE ) Windows 内核信息泄漏漏洞 8442 (CNNVD CVE ) 9 Chakra 脚本引擎内存损坏漏洞 (CNNVD CVE ) (CNNVD CVE ) (CNNVD CVE ) (CNNVD CVE ) Win32k 图形组件远程执行代码漏洞 8332 (CNNVD CVE ) 11 MS XML 远程执行代码漏洞 8420 (CNNVD CVE ) 更多漏洞信息, 可参考 : ity-update-deployment-information-september

信息安全漏洞周报 (2018 年第 48 期总第 452 期 ) 信息安全测评中心 2018 年 12 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 12 月 10 日至 2018 年 12 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况本周 CNNVD

信息安全漏洞周报 (2018 年第 48 期总第 452 期 ) 信息安全测评中心 2018 年 12 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 12 月 10 日至 2018 年 12 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况本周 CNNVD 采集安全漏洞 427 个, 与上周 (278 个 ) 相比增加了 53.60% 接报漏洞情况本周接报漏洞

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN