第118期
(
2020.1.6
-2020.1.12)
本周轩辕攻防实验室共收集、整理信息安全漏洞1319个,其中高危漏洞449个、中危漏洞843
个、低危漏洞27个,较上周相比较减少个,同比降低32%。据统计发现
后台弱口令
漏洞
是本周占比最大的漏洞。
图1 近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞
1319
个,
其中其他行业581个、电信与互联网行业315个
、
教育行业105个、
工业制造行业94个、
政府部门行业68个
、
商业平台行业67个、
医疗卫生行业43个
、
金融行业20个、交通行业9个、
能源行业9个
、
环境保护行业7个
、
市政行业1个
,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
本周监测共有漏洞
1319
个,其中,漏洞数量位居首位的是
后台弱口令漏洞
占比34%
,漏洞数量位居第二的是
SQL注入漏洞占比为22%
,位居第三的是
其他漏洞占比18%
,这三种漏洞数量就占总数74
%,与上周相比较
,
后台弱口令漏洞
数量占比增加14%
,发现
SQL注入漏洞
漏洞增加4%
,其他漏洞
占比减少6
%
;其他几种漏洞仅占总数的26%,这几种漏洞中,
未授权访问/权限绕过漏洞占比9%、
xss跨站脚本攻击漏洞
占比7%
、
命令执行漏洞占比4%、
敏感信息泄露漏洞占比2%、
设计缺陷/逻辑缺陷漏洞占比2%
、任意文件遍历/下载漏洞占比1%、CSRF跨站请求伪造漏洞占比1%。本周漏洞类型占比分布图如下:
图3 漏洞类型分布统计
经统计,
后台弱口令
漏洞在电信与互联网行业存在较为明显。同时
后台弱口令
漏洞
也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对
后台弱口令
漏洞
的防范。
后台弱口令
漏洞
在各行业分布统计图如下:
图4
后台弱口令漏洞行业分布统计
本周通用型漏洞按影响对象类型统计
WEB应用漏洞515个
、操作系统漏洞252个
、应用程序漏洞53个
、
数据库漏洞25个
、
安全产品漏洞8个、
网络设备漏洞6个、
智能设备漏洞4个
。
图5 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Mozilla产品安全漏洞
Mozilla Network Security Services(NSS)是美国Mozilla基金会的一个函数库(网络安全服务库)。该产品可跨平台提供SSL、S/MIME和其他Internet安全标准支持。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,获取敏感信息,导致缓冲区溢出等。
收录的相关漏洞包括:Mozilla Network SecurityServices缓冲区溢出漏洞(CNVD-2020-01173)、Mozilla Firefox信息泄露漏洞(CNVD-2020-01174)、Mozilla Firefox和Mozilla Firefox ESR跨站脚本漏洞(CNVD-2020-01175)、Mozilla Firefox和Mozilla Firefox ESR代码注入漏洞、Mozilla Firefox和Mozilla Firefox ESR缓冲区溢出漏洞(CNVD-2020-01177)、Mozilla Firefox和Firefox ESR内存错误引用漏洞(CNVD-2020-01179)、Mozilla Firefox和Firefox ESR栈缓冲区溢出漏洞(CNVD-2020-01180)、Mozilla Firefox缓冲区溢出漏洞(CNVD-2020-01182)。其中,除“Mozilla Firefox信息泄露漏洞(CNVD-2020-01174)、Mozilla Firefox和Mozilla Firefox ESR跨站脚本漏洞(CNVD-2020-01175)”外的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.46_release_notes
https://www.mozilla.org/en-US/security/advisories/mfsa2020-01/
https://www.mozilla.org/en-US/firefox/
GoogleChrome是美国谷歌(Google)公司的一款Web浏览器。Swiftshader是其中的一个开源3D渲染工具。Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。Framework是其中的一个Android框架组件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,导致拒绝服务,堆损坏。
收录的相关漏洞包括:Google Android Framework拒绝服务漏洞(CNVD-2020-00994)、Google Chrome资源管理错误漏洞(CNVD-2020-00997、CNVD-2020-00998)、Google Chrome Swiftshader越界访问漏洞(CNVD-2020-00996、CNVD-2020-01000、CNVD-2020-00999)、Google Android Framework权限提升漏洞(CNVD-2020-01294、CNVD-2020-01293)。其中,“Google Android Framework权限提升漏洞(CNVD-2020-01294、CNVD-2020-01293)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://source.android.com/security/bulletin/2020-01-01
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop_12.html
https://chromereleases.googleblog.com/2019/09/stable-channel-update-for-desktop.html
AppleiOS等都是美国苹果(Apple)公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple watchOS是一套智能手表操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,加载未签名的内核扩展,导致缓冲区溢出等。
收录的相关漏洞包括:多款Apple产品WebKit组件内存破坏漏洞、Apple macOS MojaveApplication Firewall组件输入验证错误漏洞、多款Apple产品Kernel组件类型混淆漏洞、多款Apple产品AppleFileConduit组件内存破坏漏洞、多款Apple产品WebKit组件内存破坏漏洞(CNVD-2020-00537)、Apple macOS Mojave Accessibility Framework组件缓冲区溢出漏洞、Apple macOS Mojave IOKit组件验证问题漏洞、多款Apple产品WebKit组件内存破坏漏洞(CNVD-2020-00541)。其中,“Apple macOS Mojave Application Firewall组件输入验证错误漏洞、多款Apple产品Kernel组件类型混淆漏洞、多款Apple产品AppleFileConduit组件内存破坏漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://support.apple.com/zh-cn/HT210123
https://support.apple.com/zh-cn/HT210119
https://support.apple.com/zh-cn/HT210122
Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。Adobe Illustrator是一套基于向量的图像制作软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,获取敏感信息。
收录的相关漏洞包括:Adobe Acrobat和Reader越界读取漏洞(CNVD-2020-01260、CNVD-2020-01261、CNVD-2020-01262、CNVD-2020-01266、CNVD-2020-01265、CNVD-2020-01267)、Adobe Acrobat和Reader权限提升漏洞、Adobe Illustrator缓冲区溢出漏洞(CNVD-2020-01264)。其中,“Adobe Illustrator缓冲区溢出漏洞(CNVD-2020-01264)、Adobe Acrobat和Reader权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://helpx.adobe.com/security/products/acrobat/apsb19-55.html
https://helpx.adobe.com/security/products/illustrator/apsb19-36.html
