近期,CNVD发布了一批重要的安全漏洞信息,涉及面广、后果较为严重,建议用户根据自身情况尽快排查和处理。

1、Google产品安全漏洞

Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。

CNVD收录的相关漏洞包括:

Google Chrome不可信输入验证漏洞

Google Chrome for android信息泄露漏洞

Google Chrome SVG对象类型混淆漏洞

Google Android Framework权限提升漏洞

Google Chrome命令执行漏洞

Google Android NVIDIA组件权限提升漏洞

Google Chrome QUIC网络实现错误漏洞

Google Chrome V8负0错误处理漏洞

其中,“Google Android Framework权限提升漏洞、Google Android NVIDIA组件权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。用户应当及时下载补丁更新,避免引发漏洞相关的网络安全事件。

2、Microsoft产品安全漏洞

Windows采用了图形化模式GUI。Windows Subsystem for Linux(简称WSL)是一个为在Windows 10和Windows Server 2019上能够原生运行Linux二进制可执行文件(ELF格式)的兼容层。Edge是微软为Windows 10打造的浏览器。Microsoft Office是一款办公软件套件产品。Microsoft SharePoint是一套企业业务协作平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行跨站脚本攻击,获取敏感信息,执行任意代码。

CNVD收录的相关漏洞包括:

Microsoft Edge Chakra脚本引擎内存破坏漏洞(CNVD-2019-07383、CNVD-2019-07384、CNVD-2019-07386、CNVD-2019-07385、CNVD-2019-07387)

Microsoft Windows Kernel信息泄露漏洞

Microsoft Office Access Connectivity Engine远程代码执行漏洞

Microsoft Office SharePoint跨站脚本漏洞

其中,除“Microsoft Windows Kernel信息泄露漏洞、Microsoft Office SharePoint跨站脚本漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。用户应对及时下载补丁更新,避免引发漏洞相关的网络安全事件。

3、libssh2产品安全漏洞

libssh2是一款实现SSH2协议的客户端C库,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞造成拒绝服务或读取客户端内存中的数据,在客户端系统上执行代码。

CNVD收录的相关漏洞包括:

libssh2整数溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799、CNVD-2019-07797、CNVD-2019-07800、CNVD-2019-07801、CNVD-2019-07802、CNVD-2019-07803)

其中,“libssh2整数溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

4、WordPress产品安全漏洞

WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。本周,该产品被披露存在打开重定向漏洞,攻击者可利用漏洞进行网络钓鱼诈骗并窃取用户凭据。

CNVD收录的相关漏洞包括:

WordPress UsaMusic-PCThemes打开重定向漏洞

WordPress Concise Themes打开重定向漏洞

WordPress 2018110612035976 Themes打开重定向漏洞

WordPress BigChrome Themes打开重定向漏洞

WordPress Zangai Themes打开重定向漏洞

WordPress Wngzs Themes打开重定向漏洞

WordPress itiis Themes打开重定向漏洞

WordPress Themes打开重定向漏洞

目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。用户应随时关注厂商主页以获取最新版本。

5、LayerBB SQL注入漏洞

LayerBB是一套小型论坛软件。本周,LayerBB被披露存在SQL注入漏洞。远程攻击者可通过向search.php文件发送‘search_query’参数利用该漏洞执行SQL命令。广大用户最好随时关注厂商主页,以获取最新版本。


发表评论

电子邮件地址不会被公开。 必填项已用*标注