上周关注度较高的产品安全漏洞(20181224-20181230)

正文

一、境外厂商产品漏洞

1、IBM Marketing Platform XML外部实体注入漏洞（CNVD-2018-26364）

IBM Marketing Platform是美国IBM公司的一套营销平台。远程攻击者可利用该漏洞实施XML外部实体注入攻击，泄露敏感信息或消耗内存资源。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26364

2、Google Android权限提升漏洞（CNVD-2018-26777）

Android是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。攻击者可利用该漏洞提升权限（越界读取）。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26777

3、Microsoft Internet Explorer远程代码执行漏洞（CNVD-2018-26979）

Microsoft Windows Server 2012等都是美国微软（Microsoft）公司发布的一系列操作系统。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码，损坏内存。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26979

4、NVIDIA GeForce Experience权限提升漏洞（CNVD-2018-26667）

NVIDIA GeForce Experience for Windows是美国英伟达（NVIDIA）公司的一套基于Windows平台的显卡自动更新工具。攻击者可利用该漏洞提升权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26667

5、多款Apple产品WebKit内存破坏漏洞（CNVD-2018-26502）

Apple iOS等都是美国苹果（Apple）公司的产品。攻击者可借助特制的web内容利用该漏洞执行任意代码（内存破坏）。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26502

二、境内厂商产品漏洞

1、多款GIGABYTE产品任意代码执行漏洞（CNVD-2018-26460）

GIGABYTE APP Center等都是中国技嘉科技（GIGABYTE Technology）公司的产品。本地攻击者可利用该漏洞提升权限。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26460

2、Foxit Quick PDF Library栈缓冲区溢出漏洞

Foxit Quick PDF Library是中国福昕（Foxit）软件公司的一款PDF SDK（软件开发工具包）。攻击者可利用该漏洞执行任意代码或造成拒绝服务。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-26510

3、S-CMS SQL注入漏洞（CNVD-2018-26678）

S-CMS是一套基于PHP和MySQL的内容管理系统（CMS）。远程攻击者可通过向js/pic.php文件发送‘P_id’参数利用该漏洞执行SQL命令。

请到「今天看啥」查看全文