第106期漏洞态势

第106期 （ 2019.10.14-2019.10.20）

本 周 轩 辕 攻 防 实 验 室 共 收 集 、 整 理 信 息 安 全 漏 洞2019 个 ， 其 中 高 危 漏 洞949 个 、 中 危 漏 洞687 个 、 低 危 漏 洞383 个 ， 较 上 周 相 比 较减少184 个 ， 同 比减少9 % 。 据 统 计 发 现sql注入 漏 洞 是 本 周 占 比 最 大 的 漏 洞 。

图1 近7周漏洞数量分布图

根 据 监 测 结 果 ， 本 周 轩 辕 攻 防 实 验 室 共 整 理 漏 洞 2019 个 ， 其 中 其 他 行 业958 个 、 电 信 与 互 联 网 行 业468 个 、 工 业 制 造 行 业165 个 、 教 育 行 业153 个 、 商 业 平 台 行 业73 个 、 医 疗 卫 生 行 业51 个 、 政 府 部 门 行 业38 个 、 交 通 行 业24 个 、 环 境 保 护 行 业20 个 、 金融行业19个 、 能 源 行 业17 个 、水利14个 、 新 闻 网 站 行 业9 个 、 市 政 行 业9 个、广播电视行业1个 ， 分 布 统 计 图 如 下 所 示 ：

图2 行业类型数量统计

本 周 漏 洞 类 型 分 布 统 计

本 周 监 测 共 有 漏 洞 2019 个 ， 其 中 ， 漏 洞 数 量 位 居 首 位 的 是 S Q L 注 入 漏 洞 占 比25 % ， 漏 洞 数 量 位 居 第 二 的 是 后台弱口令漏洞 占 比 为19 % ， 位 居 第 三 的 是 敏感信息泄露漏洞 占 比 19 % ， 这 三 种 漏 洞 数 量 就 占 总 数63 % ， 与 上 周 相 比 较 ， 发 现 S Q L 注 入 漏 洞减少17 % ， 后台弱口令漏洞 数 量 占 比增加6 % ， 敏感信息泄露漏洞数量占比 增 加18 % ； 其 他 几 种 漏 洞 仅 占 总 数 的37 % ， 这 几 种 漏 洞 中 ，其他漏洞占比13%、xss跨站脚本攻击漏洞占比11% 、命令执行漏洞占比10% 、 未 授 权 访 问 / 权 限 绕 过 占 比2% 、 任 意 文 件 遍 历 / 下 载 漏 洞 占 比1 % 、 设 计 缺 陷 / 逻 辑 缺 陷 漏 洞 占 比 1 %、CSRF跨站请求伪造占比1% 。 本 周 漏 洞 类 型 占 比 分 布 图 如 下 ：

图3 漏洞类型分布统计

经 统 计 ，sql 注 入 漏 洞 在 电 信 与 互 联 网 行 业 存 在 较 为 明 显 。 同 时 sql 注 入 漏 洞 也 是 本 周 漏 洞 类 型 统 计 中 占 比 最 多 的 漏 洞 ， 广 大 用 户 应 加 强 对 sql 注 入 漏 洞 的 防 范 。 sql 注 入 漏 洞 在 各 行 业 分 布 统 计 图 如 下 ：

图4 sql注入 漏洞行业分布统计

本 周 通 用 型 漏 洞 按 影 响 对 象 类 型 统 计

W E B 应 用 漏 洞757 个 、 应 用 程 序 漏 洞165 个 、 操 作 系 统 漏 洞105 个 、智能设备漏洞32个 、数据库漏洞29个 、网络设备漏洞21个 、安全产品漏洞13个 。

图5 漏洞影响对象类型统计图

二 、 本 周 通 用 型 产 品 公 告

1、Adobe产品安全漏洞

Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader(也被称为Acrobat Reader)是Adobe公司开发的一款PDF文件阅读软件。本周，该产品被披露存在内存错误引用漏洞，攻击者可利用漏洞执行任意代码。

收录的相关漏洞包括：Acrobat/Reader内存错误引用漏洞（CNVD-2019-35604、CNVD-2019-35605、CNVD-2019-35606、CNVD-2019-35607、CNVD-2019-35608、CNVD-2019-35610、CNVD-2019-35611、CNVD-2019-35609）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

MicrosoftInternet Explorer（IE）是一款Windows操作系统附带的Web浏览器。Microsoft SharePoint是一套企业业务协作平台。Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Dynamics 365是一套适用于跨国企业的ERP业务解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，获取信息，造成内存损坏等。

收录的相关漏洞包括：Microsoft InternetExplorer远程代码执行漏洞（CNVD-2019-35567、CNVD-2019-35571）、Microsoft SharePoint跨站脚本漏洞（CNVD-2019-35572）、Microsoft InternetExplorer和Microsoft Edge欺骗漏洞、Microsoft Graphics组件信息泄露漏洞、Microsoft Dynamics 365跨站脚本漏洞（CNVD-2019-35573）、Microsoft Windows Hyper-V信息泄露漏洞（CNVD-2019-35574）、Microsoft InternetExplorer缓冲区溢出漏洞（CNVD-2019-35806）。其中，“Microsoft Internet Explorer远程代码执行漏洞（CNVD-2019-35567、CNVD-2019-35571）、Microsoft Internet Explorer缓冲区溢出漏洞（CNVD-2019-35806）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

http://www.cnvd.org.cn/flaw/show/CNVD-2019-35574

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1238

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行非法SQLmingl，修改网络系统或组件的预期的执行控制流等。