信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN

Similar documents
信息安全漏洞周报 (2018 年第 48 期总第 452 期 ) 信息安全测评中心 2018 年 12 月 16 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 12 月 10 日至 2018 年 12 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 本周 CNNVD

信息安全漏洞周报 (2018 年第 26 期总第 430 期 ) 信息安全测评中心 2018 年 7 月 8 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 7 月 2 日至 2018 年 7 月 8 日 ) 安全漏洞情况如下 : 公开漏洞情况 5.74% 本周 CNNVD

目录漏洞态势 公开漏洞情况... 4 漏洞增长概况... 4 漏洞分布情况 漏洞厂商分布 漏洞产品分布 漏洞类型分布 漏洞危害等级分布... 7 漏洞修复情况 整体

北京师范大学网络信息安全通告 北京师范大学网络信息安全通告 2019 年 2 月报告 北京师范大学信息网络中心 2019 年 3 月

北京师范大学网络信息安全通告 北京师范大学网络信息安全通告 2019 年 3 月报告 北京师范大学信息网络中心 2019 年 4 月

北京师范大学网络信息安全通告 北京师范大学网络信息安全通告 2019 年 8 月报告 北京师范大学信息网络中心 2019 年 9 月

漏洞态势 一 采集漏洞情况 根据国家信息安全漏洞库 (CNNVD) 统计,2018 年 1 月份新增安全漏洞共 1113 个, 从厂商分布来看,Oracle 公司产品的漏洞数量最多, 共发布 174 个 ; 从漏洞类型来看, 跨站脚本类的漏洞占比最大, 达到 15.63% 本月新增漏洞中, 超危漏洞

北京师范大学网络信息安全通告 北京师范大学网络信息安全通告 2019 年 6 月报告 北京师范大学信息网络中心 2019 年 7 月

课程标题

北京师范大学网络信息安全通告 北京师范大学网络信息安全通告 2019 年 4 月报告 北京师范大学信息网络中心 2019 年 5 月

课程标题

网络安全监测工作动态 2018 第 5 期 ( 总第 5 期 ) 陕西省网络与信息安全测评中心 7 月 1 日 -7 月 31 日 本月, 陕西省网络与信息安全测评中心 ( 以下简称 测评中心 ) 对受委托的 759 个政府网站进行了安全监测, 共发现无法正常访问的政府网站 4 个, 被恶意篡改的政

CNCERT 上海分心 7 7 CNCERT 江西分心 4 4 CNCERT 山西分心 2 2 CNCERT 福建分心 2 2 CNCERT 河南分心 2 2 个人 4 4 报送总计 录入总计 308( 去重 ) 304 表 1 成员单位上报漏洞统计表 CNVD 整理和发布的漏洞涉及

目录 第 1 章安全通告... 3 第 2 章漏洞信息 漏洞描述... 5 震网三代 LNK 文件远程代码执行漏洞 (cve )... 5 Windows 搜索远程命令执行漏洞 (cve ) 风险等级... 6 第 3 章处置建

目 录 一 安全漏洞态势... 4 ( 一 ) 漏洞类型分布... 4 ( 二 ) 操作系统的漏洞分布... 5 ( 三 ) 漏洞利用方式分布... 6 ( 四 ) 漏洞厂商分布... 7 二 危急漏洞实例... 7 ( 一 ) Microsoft Internet Explorer 内存损坏漏洞

ebook42-13

<4D F736F F D20C6F3D2B5CDF8D5BECFB5CDB3BCBCCAF5B9E6B7B6CAE9A3A8C6C0B9C0D3C3A3A92E646F63>

Microsoft Word - 12.doc

Autodesk Product Design Suite Standard 系统统需求 典型用户户和工作流 Autodesk Product Design Suite Standard 版本为为负责创建非凡凡产品的设计师师和工程师提供供基本方案设计和和制图工具, 以获得令人惊叹叹的产品


个人网上银行专业版客户使用手册

目 录 一 安全漏洞态势... 4 ( 一 ) 漏洞类型分布... 4 ( 二 ) 操作系统的漏洞分布... 5 ( 三 ) 漏洞利用斱式分布... 6 ( 四 ) 漏洞厂商分布... 7 二 危急漏洞实例... 8 ( 一 ) Microsoft Internet Explorer 内存损坏漏洞

否受到木马感染 也可到此网址下载查杀工具到内网查杀病毒 二 震网三代 漏洞 北京时间 6 月 14 日凌晨, 微软发布安全公告称,Windows 快捷方式存在高危漏洞 (CVE ), 黑客可以通过 U 盘 网络共享等途径触发漏洞, 完全控制用户系统 此漏洞与震网病毒攻破伊朗核电站使

<4D F736F F D B77CC4B3ACF6BFFD2DB0D3B77EC2B2B3F8C2BEBAD82E646F63>

( 本页为空白页 )

UFO-用友电子表软件

天津天狮学院关于修订2014级本科培养方案的指导意见

一、

迪普科技2015年5月

校友会系统白皮书feb_08

Microsoft Word - connect_pro_7_release_notes_v3_handoff_to_loc.doc

用友零售案例集V4

Microsoft Word - ¸ê°T³q³ø273´Á.doc

迪普科技2015年5月

Magic Desktop


浙江大学 360 校园版定期安全简报 (2014 年 10 月 ) 一 360 虚拟服务器全网等级情况 目前, 浙大使用了 2 台服务器为 360 天擎校园版的服务端, 一台总控中心, 一台分 控中心, 另一台为测试的实体服务器 ( 暂时没有用户 ) 1.1 服务器安全等级概况 : 1) 10.20

浙江大学 360 校园版定期安全简报 (2014 年 12 月 ) 一 360 虚拟服务器全网等级情况 目前, 浙大使用了 2 台服务器为 360 天擎校园版的服务端, 一台总控中心, 一台分 控中心, 另一台为测试的实体服务器 ( 暂时没有用户 ) 1.1 服务器安全等级概况 : 1) 10.20

<4D F736F F D20BAD5D5DCD7E5B4ABCDB3CEC4BBAFB4ABB3D0CFD6D7B4B5F7B2E92E646F63>

中科曙光云盘系统

北京安域领创科技有限公司 北京安域领创科技有限公司 安全服务通告 报告周期 :2017 年 10 月第二周 (2017 年 10 月 9 日 年 10 月 15 日 )

「西醫基層總額支付委員會《第28次委員會議紀錄

一 专 业 名 称 专 业 名 称 : 会 计 二 入 学 要 求 与 基 本 学 制 入 学 要 求 : 初 中 毕 业 生 基 本 学 制 : 三 年 ; 其 中 前 二 年 为 在 校 学 习 时 间, 最 后 一 年 为 企 业 实 习 时 间 层 次 : 中 职 三 培 养 目 标 本 专

关 于 使 用 说 明 书 本 书 说 明 本 软 件 的 安 装 方 法 和 各 个 设 备 的 设 置 方 法 本 书 使 用 Microsoft Windows 7 Professional 进 行 说 明 使 用 其 他 的 操 作 系 统 或 者 根 据 操 作 系 统 的 设 置 的 不

中共重庆商务职业学院委员会

表 一 海 南 省 一 般 公 共 预 算 收 支 表 收 入 支 出 一 地 方 一 般 公 共 预 算 收 入 6,827,607 一 地 方 一 般 公 共 预 算 支 出 12,858,495 ( 一 ) 税 收 收 入 5,538,824 ( 一 ) 一 般 公 共 服 务 支 出 1,0

广州市□□□(部门)2016年部门预算

设 置, 占 81%) (27 家 设 置, 占 64%) (24 家 设 置, 占 57%) (18 家 设 置, 占 43%); ( 三 ) 在 看 板 的 上, 辽 宁 公 司 充 分 发 挥 区 域 公 司 特 点, 将 总 部 看 板 设 置, 并 形 成 一 个 闭 合 信 息 流, 实

目 录 一 安 全 漏 洞 态 势... 4 ( 一 ) 漏 洞 类 型 分 布... 4 ( 二 ) 漏 洞 操 作 系 统 分 布... 5 ( 三 ) 漏 洞 利 用 斱 式 分 布... 6 ( 四 ) 漏 洞 厂 商 分 布... 7 二 危 急 漏 洞 实 例... 7 ( 一 ) Li

北京安域领创科技有限公司 北京安域领创科技有限公司 安全服务通告 报告周期 :2016 年 11 月第三周 (2016 年 11 月 14 日 -11 月 20 日 )

目录 1 H3C R4900 G2 服务器可选部件与操作系统兼容性列表 控制卡 GPU 卡 网卡 FC HBA 卡 TPM/TCM 模块 NVMe SSD PCle 加速卡 1-31 i

迪普科技 2017 年 10 月信息安全研究月报 公开 迪普科技 2017 年 10 月 信息安全研究月报 杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co.,Ltd. 版权所有侵权必究 All rights reserved 杭州迪普科技股份有限公司版权所有

目录 一 安全漏洞态势... 4 ( 一 ) 漏洞类型分布... 4 ( 二 ) 漏洞操作系统分布... 5 ( 三 ) 漏洞利用方式分布... 6 ( 四 ) 漏洞厂商分布... 7 二 危急漏洞实例... 7 ( 一 ) Windows IE 内存损坏漏洞 (CVE )...

Microsoft Word - 学字〔2015〕16号

设 计 竞 赛 内 容 和 评 分 标 准, 旨 在 引 导 职 业 学 校 电 子 商 务 计 算 机 市 场 营 销 等 相 关 专 业 的 教 学 改 革, 展 示 职 业 院 校 电 子 商 务 相 关 专 业 的 建 设 成 果, 推 动 电 子 商 务 职 业 教 育 的 发 展 和 创

WP_ARIS_PPM_CN.PDF

密级

黑 白 中移 ( 杭州 ) 信息技术有限公司 安全产品部第 10 期 2016/10/14 新型漏洞 MySQL malloc_lib 变量重写命令执行漏洞 漏洞介绍 Oracle MySQL 是美国甲骨文 (Oracle) 公司的一套开源的关系数据库管理系统 MySQL malloc_lib 变量

迪普科技 2018 年 4 月信息安全研究月报 公开 迪普科技 2018 年 4 月 信息安全研究月报 杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co.,Ltd. 版权所有 侵权必究 All rights reserved 杭州迪普科技股份有限公司版权所有,

英语专业(中英文)

一 引 言 目 的 内 容 系 统 软 件 插 件 配 置... 3 二 系 统 介 绍 系 统 主 要 功 能 系 统 角 色 权 限 申 请 流 程 说 明... 4 三 企 业 申 请

声 明 本 公 司 及 全 体 董 事 监 事 高 级 管 理 人 员 承 诺 不 存 在 任 何 虚 假 记 载 误 导 性 陈 述 或 重 大 遗 漏, 并 对 其 真 实 性 准 确 性 完 整 性 承 担 个 别 和 连 带 的 法 律 责 任 本 公 司 负 责 人 和 主 管 会 计 工

3. 流 程 管 理 ( 系 统 管 理 员 或 者 教 务 处 管 理 员 主 要 操 作 功 能 部 分 ) 系 统 管 理 员 发 布 的 供 学 校 登 录 人 员 查 看 校 内 公 告 信 息 ; 系 统 管 理 员 审 核 提 前 实 习 的 学 生 申 请 ; 系 统 管 理 员 审

untitled

目 录 1 本周漏洞通告 漏洞一 :D-Link DIR-130 和 DIR-330 管理员证书漏洞 漏洞二 :eyou 电子邮件系统存在跨站脚本漏洞 漏洞三 :Google Android Qualcomm 闭源组件存在未明漏洞

李 老 他 自 己 却 老 是 自 称 科 员, 老 说 我 李 科 员 怎 样 怎 样, 倒 好 像 这 是 一 个 值 得 他 夸 耀 的 什 么 官 衔 一 样 他 是 我 们 这 个 衙 门 里 资 格 最 老 的 科 员, 他 自 己 却 说 是 这 个 衙 门 里 最 没 有 出 息 的

廉政课堂

untitled

新疆医科大学

untitled

Microsoft Word - 1-3陳詠琳-近代..

目 录 一 安全漏洞态势... 3 二 漏洞类型分布... 3 三 高危漏洞实例... 4 ( 一 ) Adobe Flash 0day 漏洞... 4 ( 二 ) WordPress 通杀 DoS 漏洞... 5 ( 三 ) Apache Tomcat 安全机制绕过漏洞... 6 ( 四 ) Jo

<4D F736F F F696E74202D BB7BC3D2A4CEBFECB27AA4E8A6A1BBA1A9FA205BACDBAE65BCD2A6A15D>


<4D F736F F D20CAB5D1E9CAD2B9DCC0EDC6BDCCA856342E315FD1A7C9FAD3C3BBA7B2D9D7F7D6B8C4CF2E646F63>

蓝凌EKP-N解决方案白皮书_V1.doc

目 录 一 安全漏洞态势... 3 二 漏洞类型分布... 3 三 高危漏洞实例... 5 ( 一 ) 主流处理器的多个 CPU 安全漏洞... 5 ( 二 ) PHP GD 库拒绝服务漏洞... 6 ( 三 ) Electron 远程代码执行漏洞... 7 ( 四 ) Oracle Java SE

北京安域领创科技有限公司 北京安域领创科技有限公司 安全服务通告 报告周期 :2018 年 3 月第四周 (2018 年 03 月 26 日 年 04 月 01 日 )

广 东 省 高 等 职 业 教 育 品 牌 专 业 建 设 方 案 ( 惠 州 城 市 职 业 学 院 _ 电 子 商 务 专 业 ) 目 录 一 建 设 目 标... 4 ( 一 ) 总 体 目 标... 4 ( 二 ) 具 体 目 标... 4 二 实 施 方 案... 5 项 目 一 全 面

迪普科技 2017 年 8 月信息安全研究月报 公开 迪普科技 2017 年 8 月 信息安全研究月报 杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co., Ltd. 版权所有侵权必究 All rights reserved 杭州迪普科技股份有限公司版权所有,

XXXXXXXX

CL-S10w

<%DOC NAME%> (User Manual)

电 话 :

PowerPoint 演示文稿

全国信息化工程师----GIS应用水平考试大纲(二级)

蓝盾信息安全周报66期.cdr

2018 年度 安卓系统安全性生态环境 研究 2019 年 1 月 25 日

附件1

致理技術學院資訊管理學系專題企劃書格式建議書

2

大连理工大学专业学位硕士学位论文

國立臺中科技大學

附录二受影响的防火墙设备厂商 (1) 天融信天融信公司在 The Shadow Brokers 发布信息后第一时间对该事件进行跟踪和技术分析 截止 8 月 20 日, 通过 对相关信息进行分析和深入验证, 已确认多个版本的防火 墙产品存在漏洞 : ( 不含 ) 之前版本 3.3

( )

第1章 计算机网络体系结构概述

Untitiled

中艺华海修改1.7.indd

北 京 蓝 皮 书 公 共 服 务 相 比 而 言, 养 老 医 疗 失 业 等 保 险 都 早 已 经 由 国 务 院 颁 布 了 相 应 的 立 法 条 例, 在 全 国 范 围 内 形 成 了 统 一 的 制 度 党 的 十 八 届 四 中 全 会, 首 次 以 依 法 治 国 为 主 题,

Transcription:

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日 根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了 接报漏洞情况 本周接报漏洞 412 个, 其中信息技术产品漏洞 ( 通用型漏洞 )6 个, 网络信息系统漏洞 ( 事件型漏洞 )406 个 1

一 公开漏洞情况根据国家信息安全漏洞库 (CNNVD) 统计, 本周新增安全漏洞 365 个, 漏洞新增数量有所上升 从厂商分布来看, 其中 Microsoft 公司新增漏洞最多, 共有 62 个 ; 从漏洞类型来看, 跨站脚本类的安全漏洞占比最大, 达到 10.68% 本周新增漏洞中, 超危漏洞 7 个, 高危漏洞 27 个, 中危漏洞 244 个, 低危漏洞 87 个 相应修复率分别为 100.00% 100.00% 77.87% 以及 65.52% 根据补丁信息统计, 合计 281 个漏洞已有修复补丁发布, 整体修复率为 76.99% 截至 2018 年 9 月 16 日,CNNVD 发布漏洞总量已达 115116 个 ( 一 ) 安全漏洞增长数量情况本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了 7.99% 图 1 为近五周漏洞新增数量统计图 图 1 近五周漏洞新增数量统计图 ( 二 ) 安全漏洞分布情况从厂商分布来看, 本周 Microsoft 公司新增漏洞最多, 共 62 个 各厂商漏洞数量分布如表 1 所示 2

表 1 Top 5 厂商新增安全漏洞统计表 序号 厂商名称 漏洞数量 所占比例 1 Microsoft 62 16.99% 2 Intel 20 5.48% 3 SAP 11 3.01% 4 IBM 10 2.74% 5 Adobe 10 2.74% 本周国内厂商漏洞共 3 个, 华为 (Huawei) 公司漏洞数量最多, 共 3 个 本周国内厂商漏洞整体修复率为 100% 请受影响用户关注厂商修复情况, 及时下载补丁修复漏洞 从漏洞类型来看, 本周跨站脚本类的安全漏洞相对占比最大, 达到 10.68% 漏洞类型统计如表 2 所示 表 2 漏洞类型统计表 序号 漏洞类型 漏洞数量 所占比例 1 跨站脚本 39 10.68% 2 缓冲区错误 30 8.22% 3 信息泄露 19 5.20% 4 权限许可和访问控制 16 4.38% 5 SQL 注入 9 2.47% 6 路径遍历 7 1.92% 7 跨站请求伪造 5 1.37% 8 命令注入 3 0.82% 9 输入验证 3 0.82% 10 授权问题 2 0.55% 11 操作系统命令注入 2 0.55% 12 访问控制错误 2 0.55% 13 数字错误 1 0.27% 14 代码注入 1 0.27% 15 格式化字符串 1 0.27% ( 三 ) 安全漏洞危害等级与修复情况 本周共发布超危漏洞 7 个, 高危漏洞 27 个, 中危漏洞 244 个, 低危漏洞 87 个 相应修复率分别为 100.00% 100.00% 77.87% 以及 3

65.52% 合计 281 个漏洞已有修复补丁发布, 整体修复率为 76.99% 详细情况如表 3 所示 表 3 漏洞危害等级与修复情况 序号 危害等级 漏洞数量 修复数量 修复率 1 超危 7 7 100.00% 2 高危 27 27 100.00% 3 中危 244 190 77.87% 4 低危 87 57 65.52% 合计 365 281 76.99% ( 四 ) 本周重要漏洞实例本周重要漏洞实例如表 4 所示 表 4 本周重要漏洞实例 序号 漏洞类型 漏洞编号厂商漏洞实例 是否修复 危害等级 1 访问控制错误 CNNVD-201809-573 Siemens Siemens SIMATIC WinCC OA 访问控制错误漏洞 是 超危 2 权限许可和访问控制 CNNVD-201809-476 Microsoft Microsoft Windows 权限许可和访问控制漏洞 是 高危 1. Siemens SIMATIC WinCC OA 访问控制错误漏洞 (CNNVD-201809-573) Siemens SIMATIC WinCC OA(Open Architecture) 是德国西门子 (Siemens) 公司的一套 SCADA 系统, 也是 HMI 系列的一个组成部分 该系统主要适用于轨道交通 楼宇自动化和公共电力供应等行业 Siemens SIMATIC WinCC OA V3.14 及之前版本中存在访问控制错误漏洞 远程攻击者可利用该漏洞提升权限, 影响 SIMATIC WinCC OA 系统的完整性和可用性 解决措施 : 目前厂商已发布升级补丁以修复漏洞, 补丁获取链接 : https://www.siemens.com/global/en/home/products/service 4

s/cert.html#securitypublications 2. Microsoft Windows 权限许可和访问控制漏洞 (CNNVD-201809-476) Microsoft Windows 10 等都是美国微软 (Microsoft) 公司发布的一系列操作系统 Microsoft Windows 10 是一套个人电脑使用的操作系统 Windows Server 2008 SP2 是一套服务器操作系统 Microsoft Windows 中存在提权漏洞, 该漏洞源于程序没有正确地处理高级本地过程调用 (ALPC) 调用 本地攻击者可通过登录系统并运行特制的应用程序利用该漏洞在本地系统的安全上下文中执行任意代码 以下版本受到影响 : - Microsoft Windows Server 2016 - Microsoft Windows Server 2012 R2 - Microsoft Windows Server 2012 - Microsoft Windows Server 2008 R2 SP1 - Microsoft Windows Server 2008 SP2 - Microsoft Windows Server 版本 1803 - Microsoft Windows Server 版本 1709 - Microsoft Windows 8.1 - Microsoft Windows 7 SP1 - Microsoft Windows 10 版本 1803 - Microsoft Windows 10 版本 1709 - Microsoft Windows 10 版本 1703 5

- Microsoft Windows 10 版本 1607 - Microsoft Windows 10 解决措施 : 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : N/security-guidan ce/advisory/cve-2018-8440 二 接报漏洞情况 本周接报漏洞 412 个, 其中信息技术产品漏洞 ( 通用型漏洞 )6 个, 网络信息系统漏洞 ( 事件型漏洞 )406 个 序号 1 2 3 4 5 6 7 8 9 报送单位 网神信息技术 ( 北京 ) 股份有限公司北京数字观星科技有限公司上海斗象信息科技有限公司中新网络信息安全股份有限公司四川虹微技术有限公司国发中新 ( 北京 ) 科技发展有限公司内蒙古奥创科技有限公司北京知道创宇信息技术有限公司 404 实验室北京长亭科技有限公司 表 4 本周漏洞报送情况 漏洞总量 通用型漏洞 事件型漏洞 295 0 295 51 0 51 34 0 34 12 0 12 11 0 11 3 0 3 3 3 0 2 2 0 1 1 0 6

报送总计 412 6 406 三 重大漏洞预警 CNNVD 关于微软多个安全漏洞的通报 近日, 微软官方发布了多个安全漏洞的公告, 包括 Internet Explorer 内存损坏漏洞 (CNNVD-201809-509 CVE-2018-8447) Microsoft Excel(CNNVD-201809-550 CVE-2018-8331) 远程代码执行漏洞等多个漏洞 成功利用上述安全漏洞的攻击者, 可以在目标系统上执行任意代码 微软多个产品和系统受漏洞影响 目前, 微软官方已经发布补丁修复了上述漏洞, 建议用户及时确认是否受到漏洞影响, 尽快采取修补措施 1. 漏洞介绍 本次漏洞公告涉及 Microsoft Excel Internet Explorer Microsoft Edge PDF Microsoft 脚本引擎 Microsoft.NET Framework Windows Hyper-V Chakra 脚本引擎等 Windows 平台下 应用软件和组件 漏洞详情见表 1 表 1 微软多个安全漏洞列表 序号漏洞名称漏洞编号漏洞简介 1 Internet Explorer 内存损 坏漏洞 ( CNNVD-201809-509 CVE-2018-8447 ) ( CNNVD-201809-508 Internet Explorer 部分版本存在远程代码 执行漏洞, 当 Internet Explorer 不正确地 访问内存中的对象时, 可触发该漏洞 成功 7

CVE-2018-8461) 利用该漏洞的攻击者可以获得与当前用户 相同的用户权限 2 Microsoft Excel 远程代码执行漏洞 3 Microsoft 脚本引擎内存损坏漏洞 (CNNVD-201809-55 0 CVE-2018-8331) ( CNNVD-201809-549 CVE-2018-8457) ( CNNVD-201809-535 CVE-2018-8456) ( CNNVD-201809-532 CVE-2018-8459) 当 Microsoft Excel 软件无法正确处理内存中的对象时会触发该漏洞 成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码 脚本引擎在 Microsoft 浏览器中处理内存对象的可能触发该漏洞 攻击者可以在当前用户的上下文中执行任意代码从而损坏内存 成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限 4 Microsoft.NET Framework 远程代码执行漏洞 5 Microsoft Edge PDF 远程执行代码漏洞 6 Windows 远程执行代码漏洞 ( CNNVD-201809-531 CVE-2018-8391) ( CNNVD-201809-540 CVE-2018-8421) ( CNNVD-201809-502 CVE-2018-8464) ( CNNVD-201809-495 CVE-2018-8475) 当 Microsoft.NET Framework 处理不受信任的输入时可能会触发该漏洞 成功利用漏洞的攻击者可以控制受影响的系统 攻击者可任意安装程序 查看 更改或删除数据 或者创建新帐户 当 Microsoft Edge PDF 阅读器不正确地处理内存中的对象时会触发该漏洞 成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限 当 Windows 不正确地处理经特殊设计的图像文件时会触发漏洞 成功利用此漏洞的攻击者可以执行任意代码 若要利用此漏洞, 攻击者必须诱骗用户下载图像文件 7 Windows Hyper-V ( CNNVD-201809-533 当主机服务器上的 Windows Hyper-V 无法 8

远程执行代码漏洞 CVE-2018-0965) ( CNNVD-201809-529 CVE-2018-8439) 正确验证用户操作系统上经身份验证的用 户的输入时会触发该漏洞 成功利用此漏洞 的攻击者可以执行任意代码 8 Windows 内核信息泄漏漏洞 9 Chakra 脚本引擎内存损坏漏洞 CNNVD-201809-528 CVE-2018-8442 ( CNNVD-201809-522 CVE-2018-8465) ( CNNVD-201809-521 CVE-2018-8466) 当 Windows 内核不正确地处理内存中的对象时会触发该漏洞 成功利用此漏洞的攻击者可以获取信息, 从而进一步入侵用户系统 已经过身份验证的攻击者可以通过运行经特殊设计的应用程序来利用此漏洞 Chakra 脚本引擎在 Microsoft Edge 中处理内存中的对象的时可能触发该漏洞 成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限 ( CNNVD-201809-520 CVE-2018-8467) 10 Win32k 图形组件远程执行代码漏洞 11 MS XML 远程执行代码漏洞 ( CNNVD-201809-519 CVE-2018-8367) ( CNNVD-201809-516 CVE-2018-8332) ( CNNVD-201809-507 CVE-2018-8420) 当 Windows 字体库不正确地处理经特殊设计的嵌入字体时可能触发该漏洞 成功利用此漏洞的攻击者可以控制受影响系统 攻击者可任意安装程序 查看 更改或删除数据 或者创建新帐户 当 Microsoft XML Core Services MSXML 分析器处理用户输入时可能触发该漏洞 成功利用此漏洞的攻击者可以远程运行恶意代码控制用户的系统 2. 修复建议 9

目前, 微软官方已经发布补丁修复了上述漏洞, 建议用户及时确 认漏洞影响, 尽快采取修补措施 微软官方链接地址如下 : 序号漏洞名称官方链接 1 Internet Explorer 内存损坏漏洞 (CNNVD-201809-509 CVE-2018-8447) (CNNVD-201809-508 CVE-2018-8461) 8447 8461 2 Microsoft Excel 远程执行代码漏洞 (CNNVD-201809-550 CVE-2018-8331) 3 Microsoft 脚本引擎内存损坏漏洞 (CNNVD-201809-549 CVE-2018-8457) (CNNVD-201809-535 CVE-2018-8456) (CNNVD-201809-532 CVE-2018-8459) (CNNVD-201809-531 CVE-2018-8391) 4 Microsoft.NET Framework 远程代码执行漏洞 (CNNVD-201809-540 CVE-2018-8421) 5 Microsoft Edge PDF 远程执行代码漏洞 (CNNVD-201809-502 CVE-2018-8464) 6 Windows 远程执行代码漏洞 8331 8457 8456 8459 8391 8421 8464 10

(CNNVD-201809-495 CVE-2018-8475) 8475 7 Windows Hyper-V 远程执行代码漏洞 (CNNVD-201809-533 CVE-2018-0965) (CNNVD-201809-529 CVE-2018-8439) 0965 8439 8 Windows 内核信息泄漏漏洞 8442 (CNNVD-201809-528 CVE-2018-8442) 9 Chakra 脚本引擎内存损坏漏洞 (CNNVD-201809-522 CVE-2018-8465) (CNNVD-201809-521 CVE-2018-8466) (CNNVD-201809-520 CVE-2018-8467) (CNNVD-201809-519 CVE-2018-8367) 8465 8466 8467 8367 10 Win32k 图形组件远程执行代码漏洞 8332 (CNNVD-201809-516 CVE-2018-8332) 11 MS XML 远程执行代码漏洞 8420 (CNNVD-201809-507 CVE-2018-8420) 更多漏洞信息, 可参考 : https://support.microsoft.com/en-us/help/20180911/secur ity-update-deployment-information-september-11-2018 11

2024 © docsplayer.com 隐私 | 条款 | 反馈