近期,CNVD发布了一批重要的安全漏洞信息,涉及面广、后果较为严重,建议用户根据自身情况尽快排查和处理。
1、Google产品安全漏洞
Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。
CNVD收录的相关漏洞包括:
Google Chrome不可信输入验证漏洞
Google Chrome for android信息泄露漏洞
Google Chrome SVG对象类型混淆漏洞
Google Android Framework权限提升漏洞
Google Chrome命令执行漏洞
Google Android NVIDIA组件权限提升漏洞
Google Chrome QUIC网络实现错误漏洞
Google Chrome V8负0错误处理漏洞
其中,“Google Android Framework权限提升漏洞、Google Android NVIDIA组件权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。用户应当及时下载补丁更新,避免引发漏洞相关的网络安全事件。
2、Microsoft产品安全漏洞
Windows采用了图形化模式GUI。Windows Subsystem for Linux(简称WSL)是一个为在Windows 10和Windows Server 2019上能够原生运行Linux二进制可执行文件(ELF格式)的兼容层。Edge是微软为Windows 10打造的浏览器。Microsoft Office是一款办公软件套件产品。Microsoft SharePoint是一套企业业务协作平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行跨站脚本攻击,获取敏感信息,执行任意代码。
CNVD收录的相关漏洞包括:
Microsoft Edge Chakra脚本引擎内存破坏漏洞(CNVD-2019-07383、CNVD-2019-07384、CNVD-2019-07386、CNVD-2019-07385、CNVD-2019-07387)
Microsoft Windows Kernel信息泄露漏洞
Microsoft Office Access Connectivity Engine远程代码执行漏洞
Microsoft Office SharePoint跨站脚本漏洞
其中,除“Microsoft Windows Kernel信息泄露漏洞、Microsoft Office SharePoint跨站脚本漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。用户应对及时下载补丁更新,避免引发漏洞相关的网络安全事件。
3、libssh2产品安全漏洞
libssh2是一款实现SSH2协议的客户端C库,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞造成拒绝服务或读取客户端内存中的数据,在客户端系统上执行代码。
CNVD收录的相关漏洞包括:
libssh2整数溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799、CNVD-2019-07797、CNVD-2019-07800、CNVD-2019-07801、CNVD-2019-07802、CNVD-2019-07803)
其中,“libssh2整数溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
4、WordPress产品安全漏洞
WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。本周,该产品被披露存在打开重定向漏洞,攻击者可利用漏洞进行网络钓鱼诈骗并窃取用户凭据。
CNVD收录的相关漏洞包括:
WordPress UsaMusic-PCThemes打开重定向漏洞
WordPress Concise Themes打开重定向漏洞
WordPress 2018110612035976 Themes打开重定向漏洞
WordPress BigChrome Themes打开重定向漏洞
WordPress Zangai Themes打开重定向漏洞
WordPress Wngzs Themes打开重定向漏洞
WordPress itiis Themes打开重定向漏洞
WordPress Themes打开重定向漏洞
目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。用户应随时关注厂商主页以获取最新版本。
5、LayerBB SQL注入漏洞
LayerBB是一套小型论坛软件。本周,LayerBB被披露存在SQL注入漏洞。远程攻击者可通过向search.php文件发送‘search_query’参数利用该漏洞执行SQL命令。广大用户最好随时关注厂商主页,以获取最新版本。
来源:freebuf.com 2019-03-29 17:44:55 by: 安全狗safedog
请登录后发表评论
注册