正文
2018年12月24
日-2018年12月30日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞414个,其中高危漏洞166个、中危漏洞219个、低危漏洞29个。漏洞平均分值为6.21。本周收录的漏洞中,涉及0day漏洞245个(占59%),其中互联网上出现“WordPress插件AutoSuggest 'wpas_keys' SQL注入漏洞、libxls拒绝服务漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1657个,与上周(1991个)环比下降17%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周,
CNVD向基础电信企业通报漏洞事件9起,向银行、保险、能源等重要行业单位通报漏洞事件44起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件519起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件117起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件24起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
上海海天信息系统工程有限公司、用友网络科技股份有限公司、灵宝简好网络科技有限公司、广州得扬网络科技有限公司、淄博闪灵网络科技有限公司、北京若深科技有限公司、北京易维云数据科技有限公司、北京百容千域软件技术开发有限责任公司、湖南翱云网络科技有限公司、南京第五十五所技术开发有限公司、阜阳市心品网络科技有限公司、济南爱程网络科技有限公司、长沙德尚网络科技有限公司、深圳市吉祥腾达科技有限公司、济南点创网络科技有限公司、武汉达梦数据库有限公司、中国电子科技集团公司第五十五研究所、互诺科技、春杰工作室、乐外资源分享网、深圳好生意网络工作室、南充鸿达网络、大河网、和利时集团、安徽启明星工作室、棠下互联、ZZZCMS、HisiPHP、PHPMyWind、Faad2、ZZCMS、TPTCMS、老班CMS、易贝CMS。
本周漏洞报送情况统计
本周报送情况如表1所示。其中,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、新华三技术有限公司、中国电信集团系统集成有限责任公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、安徽锋刃信息科技有限公司、中新网络信息安全股份有限公司、北京圣博润高新技术股份有限公司、任子行网络技术股份有限公司、成都思维世纪科技有限公司、河南信安世纪科技有限公司、天津市国瑞数码安全系统股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京国舜科技股份有限公司、南京联成科技发展股份有限公司、上海银基信息安全技术股份有限公司、北京安华金和科技有限公司、江苏百达智慧网络科技有限公司(含光实验室)、吉林省一秋科技有限公司、上海零盾网络科技有限公司、四川月安客信息技术有限公司及其他个人白帽子向CNVD提交了1657个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1239条原创漏洞信息。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了414个漏洞。应用程序漏洞201个,WEB应用漏洞131个,操作系统漏洞58个,网络设备漏洞18,安全产品漏洞6个。
表2 漏洞按影响类型统计
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Adobe、Microsoft、IBM等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周,CNVD收录了14个电信行业漏洞,40个移动互联网行业漏洞,3个工控行业漏洞(如下图所示)。其中,“多款Apple产品WebKit内存破坏漏洞(CNVD-2018-26502)、Google Android权限提升漏洞(CNVD-2018-26777)”漏洞的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图
8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统
计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Adobe产品安全漏洞
Adobe Acrobat是一套PDF文件编辑和转换工具,Adobe Reader是一套PDF文档阅读软件。本周,上述产品被披露存在任意代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Adobe Acrobat和Reader任意代码执行漏洞(CNVD-2018-26551、CNVD-2018-26552、CNVD-2018-26553、CNVD-2018-26554、CNVD-2018-26555、CNVD-2018-26556、CNVD-2018-26559、CNVD-2018-26560)。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26551
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26552
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26553
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26554
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26555
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26556
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26559
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26560
2、Microsoft产品安全漏洞
Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Microsoft ChakraCore是一个Edge(Web浏览器)所使用的JavaScript引擎的核心部分。Internet Explorer(IE)是其中的一款Windows操作系统附带的Web浏览器。本周,上述产品被披露存在权限提升和远程代码执行漏洞,攻击者可利用漏洞提升权限,执行任意代码,破坏内存。
CNVD收录的相关漏洞包括:Microsoft ChakraCore和Edge远程代码执行漏洞(CNVD-2018-26972、CNVD-2018-26971)、Microsoft Internet Explorer远程代码执行漏洞(CNVD-2018-26979)、Microsoft Windows Registry本地权限提升漏洞、Microsoft Windows MS XML远程执行代码漏洞、Microsoft ChakraCore远程代码执行漏洞(CNVD-2018-26985、CNVD-2018-26987)、Microsoft ChakraCore和Windows Edge远程代码执行漏洞。上述漏洞的综合评级为为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26972
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26971
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26979
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26978
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26980
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26985
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26987
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26986
3、IBM产品安全漏洞
IBM DataPower Gateway是一套专门为移动、云、应用编程接口(API)、网络、面向服务架构(SOA)、B2B和云工作负载而设计的安全和集成平台。MQ Appliance是一款用于快速部署企业级消息中间件的一体机设备。IBM Connections是一套社交软件平台。IBM Marketing Platform是一套营销平台。IBM Security Guardium是一套提供数据保护功能的平台。IBM BigFix Platform是一套动态的集成了消息内容驱动和管理系统的多技术平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息或消耗内存资源等。
CNVD收录的相关漏洞包括:IBM DataPower Gateway和MQ Appliance拒绝服务漏洞、IBM Connections信息泄露漏洞(CNVD-2018-26361)、IBM Marketing Platform XML外部实体注入漏洞(CNVD-2018-26362、CNVD-2018-26364)、IBM DataPower Gateway信息泄露漏洞(CNVD-2018-26363)、IBM Security Guardium信息泄露漏洞(CNVD-2018-26895)、IBM Operational Decision Manager XML外部实体注入漏洞(CNVD-2018-26896)、IBM BigFix Platform信息泄露漏洞(CNVD-2018-26899)。其中,“IBM Marketing Platform XML外部实体注入漏洞(CNVD-2018-26362、CNVD-2018-26364)、IBM Operational Decision Manager XML外部实体注入漏洞(CNVD-2018-26896)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26359
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26361
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26362
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26364
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26363
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26895
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26896
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26899
4、Apple品安全漏洞
Apple iOS是为移动设备所开发的一套操作系统;Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。WebKit是KDE、苹果(Apple)、谷歌(Google)等公司共同开发的一套开源Web浏览器引擎,目前被Apple Safari及Google Chrome等浏览器使用。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple macOS Sierra是为Mac计算机所开发的一套专用操作系统。本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,伪造UI,提升权限,执行任意代码,发起拒绝服务攻击。
CNVD收录的相关漏洞包括:Apple macOS Mojave Intel Graphics Driver未初始化内存信息泄露漏洞、Apple iOS libxpc权限提升漏洞、多款Apple产品WebKit拒绝服务漏洞(CNVD-2018-26497)、Apple macOS Security拒绝服务漏洞、Apple macOS Spotlight内存破坏漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2018-26502)、Apple iOS Messages UI欺骗漏洞(CNVD-2018-26503、CNVD-2018-26504)。其中,“Apple macOS Spotlight内存破坏漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2018-26502)”的综合评级为为“高危”。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26495
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26496
http://www.cnvd.org.cn/flaw/show/CNVD-2018-26497
