漏洞ios10升级

本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞101个,其中高危漏洞42个、中危漏洞52个、低危漏洞7个.
漏洞平均分值为6.
29.
本周收录的漏洞中,涉及0day漏洞13个(占13%).
其中互联网上出现"Joomla!
组件BlogCalendarSQL注入漏洞、Wampserver不安全的文件权限提升漏洞"零日代码攻击漏洞,请使用相关产品的用户注意加强防范.
此外,本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数511个,与上周(547个)环比下降7%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周,共11家成员单位、合作伙伴及企业用户、个人用户报送了本周收录的全部101个漏洞.
报送情况如表1所示.
其中,安天实验室、启明星辰、蓝盾信息安全技术股份有限公司、天融信等单位报送数量较多.
360网神、漏洞盒子、清远职业技术学院、广国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2017年01月02日-2017年01月08日2017年第2期西鑫瀚科技有限公司、上海零盾网络科技有限公司、广州神月信息安全技术有限公司及其他个人白帽子向CNVD提交了511个以事件型漏洞为主的原创漏洞.
报送单位或个人漏洞报送数量原创漏洞数量360网神364364安天实验室1180启明星辰8949蓝盾信息安全技术股份有限公司740天融信730华为技术有限公司620中国电信集团系统集成有限责任公司400恒安嘉新390H3C380南京铱迅信息技术股份有限公司22北京数字观星科技有限公司10漏洞盒子2525清远职业技术学院66广西鑫瀚科技有限公司55上海零盾网络科技有限公司11广州神月信息安全技术有限公司11CNCERT宁夏分中心11个人5757报送总计996511录入总计101(去重)511表1漏洞报送情况统计表本周漏洞按类型和厂商统计本周,CNVD收录了101个漏洞.
其中应用程序漏洞62个,web应用漏洞16个,操作系统漏洞12个,网络设备漏洞9个,安全产品漏洞2个.
漏洞影响对象类型漏洞数量应用程序漏洞62web应用漏洞16操作系统漏洞12网络设备漏洞9安全产品漏洞2表2漏洞按影响类型统计表图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Google、IBM、GStreamer等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
序号厂商(产品)漏洞数量所占比例1Google1414%2IBM1010%3GStreamer66%4ImageMagick55%5PHP44%6Piwigo44%7WordPress44%8NETGEAR33%9DELL22%10其他4949%表3漏洞产品涉及厂商分布统计表本周行业漏洞收录情况本周,CNVD收录了3个电信行业漏洞,12个移动互联网行业漏洞(如下图所示).
其中,"GoogleNexusNVIDIAGPUDriver权限提升漏洞(CNVD-2017-00179)、GoogleAndroidQualcommVideoDriver权限提升漏洞、GoogleAndroidQualcommGPU驱动程序权限提升漏洞、GoogleAndroid权限提升漏洞(CNVD-2017-00162、CNVD-2017-00160)"的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、phpmailer以及其他mailer组件安全漏洞PHPMailer是一个用于发送电子邮件的PHP类库.
SwiftMailer是一个用于发送电子邮件的PHP函数包.
ZendFramework(ZF)是美国Zend公司开发的一套开源的PHP5开发框架.
上述产品被披露存在代码执行漏洞,攻击者可利用漏洞执行任意代码.
CNVD收录的相关漏洞包括:PHPMailer远程代码执行漏洞、PHPMailer远程代码执行漏洞(CNVD-2017-00052)、SwiftMailer远程代码执行漏洞、ZendFramework'zend-mail'组件远程代码执行漏洞.
除"PHPMailer远程代码执行漏洞"外,其余漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2016-13107http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00052http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00012http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-000472、Google产品安全漏洞GoogleNexus是美国谷歌(Google)公司的智能设备.
GooglePixelC是一款平板电脑.
NVIDIAGPU是使用在其中的一个NVIDIA图形处理器驱动组件.
Android是一套以Linux为基础的开源操作系统.
QualcommGPUDriver是使用在其中的一个美国高通(Qualcomm)公司开发的图形处理器驱动程序.
本周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞获取提升的权限.
CNVD收录的相关漏洞包括:GoogleNexusQualcommCameraDriver权限提升漏洞(CNVD-2017-00173、CNVD-2017-00174)、GooglePixelNVIDIAGPUDriver权限提升漏洞、GooglePixelNVIDIAGPUDriver权限提升漏洞(CNVD-2017-00175)、GoogleAndroidQualcommVideoDriver权限提升漏洞、GoogleAndroidQualcommGPU驱动程序权限提升漏洞、GoogleAndroid权限提升漏洞(CNVD-2017-00162、CNVD-2017-00160)等.
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00173http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00174http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00176http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00175http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00180http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00163http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00162http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-001603、IBM产品安全漏洞IBMUrbanCodeDeploy是美国IBM公司的一套应用自动化部署工具.
IBMSecurityAppScanSource是一套Web应用的安全测试工具.
IBMWebSphereApplicationServer(WAS)是一款应用服务器产品,IBMLicenseMetricTool是一套可帮助客户决定其处理器价值单元(PVU)许可需求的免费工具,BigFixInventory是一套用于软件控制和安全风险缓解的解决方案.
IBMSecurityGuardiumDatabaseActivityMonitor是一款数据库活动监控器产品.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、执行任意代码或进行跨站脚本攻击等.
CNVD收录的相关漏洞包括:IBMUrbanCodeDeploy信息泄露漏洞(CNVD-2017-00171)、IBMUrbanCodeDeploy远程代码执行漏洞、IBMSecurityAppScanSource本地信息泄露漏洞、IBMWebSphereApplicationServer跨站脚本漏洞、IBMLicenseMetricTool和BigFixInventoryXML外部实体注入漏洞、IBMLicenseMetricTool和BigFixInventory信息泄露漏洞、IBMSecurityGuardiumDatabaseActivityMonitor本地命令注入漏洞(CNVD-2017-00060)、IBMLicenseMetricTool和BigFixInventory开放重定向漏洞等.
其中,"IBMUrbanCodeDeploy远程代码执行漏洞、IBMLicenseMetricTool和BigFixInventoryXML外部实体注入漏洞、IBMSecurityGuardiumDatabaseActivityMonitor本地命令注入漏洞(CNVD-2017-00060)、IBMLicenseMetricTool和BigFixInventory开放重定向漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00171http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00170http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00169http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00076http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00063http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00059http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00060http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-000514、GStreamer产品安全漏洞GStreamer是一套用于处理流媒体的框架.
BadPlug-ins是一个解码组件.
GoodPlug-ins是一个用于提高代码质量的组件.
本周,上述产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击.
CNVD收录的相关漏洞包括:Gstreamer拒绝服务漏洞、Gstreamer拒绝服务漏洞(CNVD-2017-00123)、GStreamerBadPlug-ins拒绝服务漏洞(CNVD-2017-00121、CNVD-2017-00122)、GStreamerBadPlug-ins拒绝服务漏洞、GStreamerGoodPlug-ins拒绝服务漏洞.
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00124http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00123http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00121http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00122http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00056http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-000575、Wampserver不安全的文件权限提升漏洞WampServer是WindosApacheMysqlPHP集成安装环境.
本周,WampServer被披露存在不安全的文件权限提升漏洞.
攻击者可以利用该漏洞获取系统管理员权限.
目前,厂商尚未发布该漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-00019更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2017-00072ImageMagick缓冲区溢出漏洞(CNVD-2017-00072)高用户可联系供应商获得补丁信息:http://www.
imagemagick.
org/CNVD-2017-00048WordPress插件SliderTemplaticTevolution任意文件上传漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://templatic.
com/wordpress-plugins/tevolutionCNVD-201ImageMagick缓冲区溢出漏洞高用户可联系供应商获得补丁信息:7-00073(CNVD-2017-00073)http://www.
imagemagick.
org/CNVD-2017-00069PHPStandardPHPLibrary内存错误引用漏洞高目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://github.
com/php/php-src/commit/bcd64a9bdd8afcf7f91a12e700d12d12eedc136bCNVD-2017-00064LibVNCServer堆缓冲区溢出漏洞高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://libvnc.
github.
io/CNVD-2017-00065LibVNCServer堆缓冲区溢出漏洞(CNVD-2017-00065)高目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:http://libvnc.
github.
io/CNVD-2017-00081多个QuickHeal产品缓冲区溢出漏洞高厂商已发布了漏洞修复程序,请及时关注更新:http://www.
quickheal.
co.
in/CNVD-2017-00083Shutter任意命令执行漏洞高厂商已发布了漏洞修复程序,请及时关注更新:http://shutter-project.
org/CNVD-2017-00111LenovoTransition本地权限提升漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://support.
lenovo.
com/us/zh/product_security/LEN-12508CNVD-2017-00118Serendipity任意文件包含漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://github.
com/s9y/Serendipity/commit/bba6a840f4d53cbaf62971a3078a98c8ddf92b85表4部分重要高危漏洞列表小结:phpmailer以及其他mailer组件被披露存在代码执行漏洞,攻击者可利用漏洞执行任意代码.
此外,Google、IBM、GStreamer等多款产品被披露存在多个安全漏洞,攻击者利用漏洞可泄露敏感信息、绕过安全限制、执行任意代码或发起拒绝服务攻击等.
另外,WampServer被披露存在不安全的文件权限提升漏洞.
攻击者可以利用该漏洞获取系统管理员权限.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
PhpMailer、SwiftMailer、ZendMail接连曝RCE高危漏洞,影响数百万Web服务器研究人员最近发现了一个存在于3个常见开源PHP库中的高危(Critical)漏洞,黑客可以利用这个漏洞远程执行任意命令,存在漏洞的PHP库包括SwiftMailer、PhpMailer和ZendMail.
来自波兰的研究员DawidGolunski前一阵就披露了存在于PHPMailer中的漏洞(CVE-2016-10033),该漏洞利用程序对参数过滤的不完善,来执行任意代码.
利用新版本中的冲突问题,研究人员再次绕过了5.
2.
18版PHPMailer中的安全措施,因此申请了一个新的漏洞编号(CVE-2016-10045).
这一次漏洞波及范围更大,包括众多开源的web应用如WordPress,Drupal,1CRM,SugarCRM,Yii和Joomla都可能遭到攻击.
参考链接:http://www.
freebuf.
com/news/124492.
html2.
iOS10iMessage字符崩溃Bug又来了近日,黑客@vincedes3发现了一个从iOS8到iOS10.
2.
1b2通用的iMessage字符崩溃Bug,该Bug同样利用了和当年iOS8的iMessage短信Bug的类似手法,将一段恶意代码发送给受害者,在受害者打开短信的时候,触发了大量能够引起短信程序崩溃的字符,当用户浏览该短信的时候,cpu进行了大量的计算直到短信app点不动.
当用户关掉短信程序后,再次打开短信程序,系统试图加载上一次内容,依然会触发该bug.
参考链接:http://www.
freebuf.
com/news/124291.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82990999