第116期
(
2019.12.23-2019.12.29)
本周轩辕攻防实验室共收集、整理信息安全漏洞1939个,其中高危漏洞726个、中危漏洞
612个、低危漏洞601个,较上周相比较咋增加241个,同比增加12%。据统计发现敏感信息泄露
漏洞
是本周占比最大的漏洞。
图1 近7周漏洞数量分布图
根据监测结果,本周轩辕攻防实验室共整理漏洞
1939
个,
电信与互联网行业772个
、其中其他行业486个
、工业制造行业281个、教育行业99个
、商业平台行业96个、医疗卫生行业56个
、政府部门行业43个
、环境保护行业28个
、交通行业28个
、能源行业18个
、新闻网站行业10个
、市政行业9个
、金融行业8个
、广播电视行业3个、水利行业2个
,分布统计图如下所示:
图2 行业类型数量统计
本周漏洞类型分布统计
本周监测共有漏洞
1939
个,其中,漏洞数量位居首位的是
敏感信息泄露漏洞占比31%
,漏洞数量位居第二的是
SQL注入漏洞占比29%
,位居第三的是
后台弱口令漏洞
占比为15%
,这三种漏洞数量就占总数
75
%,与上周相比较,
敏感信息泄露漏洞
占比增加29
%
,发现
SQL注入漏洞
漏洞增加5%,
后台弱口令
漏洞
数量占比减少7%
;其他几种漏洞仅占总数的25%,这几种漏洞中,
未授权访问/权限绕过漏洞占比6%
、
其他
漏洞
占比9%
、命令执行漏洞占比5%
、xss跨站脚本攻击漏洞
占比2%
、设计缺陷/逻辑缺陷漏洞占比1%
、任意文件遍历/下载漏洞占比1%、CSRF跨站请求伪造漏洞占比1%。本周漏洞类型占比分布图如下:
图3 漏洞类型分布统计
经统计,
敏感信息泄露
漏洞在电信与互联网行业存在较为明显。同时
敏感信息泄露
漏洞
也是本周漏洞类型统计中占比最多的漏洞,广大用户应加强对
敏感信息泄露
漏洞
的防范。
敏感信息泄露
漏洞
在各行业分布统计图如下:
图4
敏感信息泄露漏洞行业分布统计
本周通用型漏洞按影响对象类型统计
WEB应用漏洞564个
、操作系统漏洞152个
、网络设备漏洞45个
、应用程序漏洞41个
、安全产品漏洞22个
、数据库漏洞13个
、智能设备漏洞1个
。
图5 漏洞影响对象类型统计图
二、本周通用型产品公告
1、Linux产品安全漏洞
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。Marvell WiFi chip driver是其中的的一个WiFi芯片驱动程序。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致缓冲区溢出,造成内核异常。
收录的相关漏洞包括:
Linuxkernel内存错误引用漏洞(CNVD-2019-46994、CNVD-2019-47002)、Linuxkernel缓冲区溢出漏洞(CNVD-2019-46998、CNVD-2019-47005)、Linuxkernel输入验证错误漏洞(CNVD-2019-47001)、Linux Kernel堆缓冲区溢出漏洞(CNVD-2019-47003)、Linuxkernel Marvell WiFi chip driver缓冲区溢出漏洞、LinuxKernel 'marvell/mwifiex/scan.c'文件缓冲区溢出漏洞。
上述漏洞的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=56cd26b618855c9af48c8301aa6754ced8dd0beb
https://patchwork.kernel.org/patch/11257535/
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ad6759fbf35d104dbf573cd6f4c6784ad6823f7e
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=1b5e2423164b3670e8bc9174e4762d297990deff
https://lore.kernel.org/patchwork/patch/1142523/
GoogleChrome是美国谷歌(Google)公司的一款Web浏览器。
Android是美国谷歌(Google)和开放手持设备联盟(简称OHA)的一套以Linux为基础的开源操作系统。
Video driver是其中的一个视频驱动程序。
MNH driver是其中的一个MNH驱动程序。
Broadcom Bluetooth是其中的一个蓝牙组件。
Kernel是其中的一个系统内核组件。
Touch driver是其中的一个触控驱动程序。
Framework是其中的一个Android框架组件。
LG Bootloader是其中的一个启动加载程序。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,导致拒绝服务。
收录的相关漏洞包括:
Google Chrome资源管理错误漏洞(CNVD-2019-46750)、Google Android Video驱动程序提权漏洞、Google Android MNH驱动程序权限提升漏洞、Google Android BroadcomBluetooth权限提升漏洞、Google Android Kernel权限提升漏洞(CNVD-2019-47018)、Google Android Touch驱动程序权限提升漏洞、Google Android缓冲区溢出漏洞(CNVD-2019-47020)、Google Android操作系统命令注入漏洞。
其中,“Google Chrome资源管理错误漏洞(CNVD-2019-46750)、Google Android Kernel权限提升漏洞(CNVD-2019-47018)、Google Android缓冲区溢出漏洞(CNVD-2019-47020)、Google Android操作系统命令注入漏洞”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://chromereleases.googleblog.com/2019/12/stable-channel-update-for-desktop_17.html
https://source.android.com/security/bulletin/pixel/2019-09-01
https://source.android.com/security/bulletin/pixel/2019-11-01
AppleSafari等都是美国苹果(Apple)公司的产品。
Apple Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。
Apple iOS是一套为移动设备所开发的操作系统。
Apple watchOS是一套智能手表操作系统。
WebKit是其中的一个Web浏览器引擎组件。
Apple iCloud for Windows是一款基于Windows平台的云服务。
CoreCrypto是其中的一个核心加密组件。
Apple macOS Catalina是一套专为Mac计算机所开发的专用操作系统。
libxslt是其中的一个XSLT(可扩展样式表转换语言)库。
CFNetwork是其中的一个低层次、高性能的框架,是BSD sockets(套接字)的扩展。
Apple tvOS是一套智能电视操作系统。
Kernel是其中的一个内核组件。
Apple iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。
WebKit是其中的一个Web浏览器引擎组件。
Apple iPadOS是一套用于iPad平板电脑的操作系统。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码,导致拒绝服务等。
收录的相关漏洞包括:
多款Apple产品WebKit组件内存破坏漏洞(CNVD-2019-46956、CNVD-2019-46969)、多款Apple产品WebKit组件代码执行漏洞(CNVD-2019-46964)、多款Apple产品libxslt组件内存破坏漏洞、多款Apple产品Kernel组件内存破坏漏洞(CNVD-2019-46965)、多款Apple产品CFNetwork组件跨站脚本漏洞、多款Apple产品CoreCrypto组件拒绝服务漏洞、多款Apple产品Kernel组件代码执行漏洞(CNVD-2019-46966)。
目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://support.apple.com/zh-cn/HT210724
https://support.apple.com/en-us/HT210603
IBM Spectrum Scale是美国IBM公司的一套基于IBM GPFS(专为PB级存储管理而优化的企业文件管理系统)的可扩展的数据及文件管理解决方案。
IBM Financial TransactionManager for SWIFT Services是美国IBM公司的一款金融事务管理器产品。
IBM Cognos Analytics是美国IBM公司的一套商业智能软件。
IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取cookie值,执行任意命令等。
收录的相关漏洞包括:
IBM Spectrum Scale输入验证错误漏洞、IBM Financial Transaction Manager for SWIFT Services点击劫持漏洞、IBM Financial Transaction Manager for SWIFT Services跨站脚本漏洞、IBM Financial Transaction Manager for SWIFT Services信息泄露漏洞、IBM Financial Transaction Manager for SWIFT Services跨站请求伪造漏洞、IBM Cognos Analytics跨站脚本漏洞(CNVD-2019-46620)、IBM Cognos Analytics跨站请求伪造漏洞、IBM Planning Analytics代码执行漏洞。
其中,“IBM Spectrum Scale输入验证错误漏洞、IBM Planning Analytics代码执行漏洞”的综合评级为“高危”。
目前,厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.ibm.com/support/pages/node/1118913
https://www.ibm.com/support/pages/node/1135173
