网络安全

INTERNET SAFTY

2017年7月疫情分析

发布时间:2017-07-07 16:13:29
  • Microsoft 产品安全漏洞

Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统,Microsoft Forefront 是应用在其中的一套面向企业的服务器安全特性解决方案。Microsoft Defender 是一款应用在其中的杀毒软件。Windows Search 服务(WSS)是 windows 的一项默认启用的基本服务。本月,上述产品被披露存在远程代码执行和拒绝服务漏洞,攻击者可利用漏洞执行任意代码或发起拒绝服务攻击。

CNVD 收录的相关漏洞包括:Microsoft Malware Protection 引擎拒绝服务漏洞(CNVD-2017-09499、CNVD-2017-09500、CNVD-2017-09502) 、Microsoft Malware Protection引擎远程代码执行漏洞(CNVD-2017-09503、CNVD-2017-09504) 、Microsoft Windows LNK 文件远程代码执行漏洞、Microsoft Windows OLE 远程代码执行漏洞(CNVD-2017-09716) 、Microsoft Windows Search 远程代码执行漏洞。其中, “Microsoft Windows LNK 文件远程代码执行漏洞、Microsoft Windows OLE 远程代码执行漏洞(CNVD-2017-09716) 、Microsoft Windows Search远程代码执行漏洞”的综合评级为“高危” 。

目前,厂商已经发布了上述漏洞的修补程序。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-09499

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09500

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09502

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09503

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09504

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09382

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09716

http://www.cnvd.org.cn/flaw/show/CNVD-2017-09381

  • Huawei 存在多个漏洞

Huawei HedEx Lite是中国华为(Huawei)公司的一款文档管理软件。Huawei iManager NetEco是一款机房动环监控系统。Huawei P7、P8 青春版和 P9 Plus 都是智能手机设备。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限或执行任意命令或发起拒绝服务攻击等。

CNVD 收录的相关漏洞包括: Huawei HedEx Lite DLL 劫持漏洞、 Huawei HedEx Lite 跨站脚本漏洞、Huawei HedEx Lite 跨站请求伪造漏洞、Huawei HedEx Lite 任意文件下载漏洞、Huawei Manager NetEco 命令注入漏洞、Huawei P7 GPU 驱动程序权限提升漏洞、Huawei P7 和 P8 青春版拒绝服务漏洞、Huawei P9 Plus 内存错误引用漏洞。上述漏洞的综合评级为“高危” 。目前,厂商已经发布了上述漏洞的修补程序。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-08774

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08776

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08775

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08773

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08781

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08782

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08780

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08778

  • WordPress Powerplay Gallery 插件文件上传漏洞

WordPress是 WordPress软件基金会的一套使用 PHP 语言开发的博客平台。本月,该产品被披露存在权限提升、文件上传和 SQL 注入漏洞,攻击者可利用漏洞提升权限、上传任意文件和泄露数据库敏感信息等。

CNVD 收录的相关漏洞包括:WordPress Bulk Delete插件权限提升漏洞、WordPress console contact form插件文件上传漏洞、WordPress Huge-IT Video Gallery 插件 SQL 注入漏洞、WordPress Ocim MP3 插件 SQL 注入漏洞、Wordpress Themes Purevision任意文件上传漏洞、Wordpress Themes rehber 文件上传漏洞、Wordpress 插件 dopts 文件上传漏洞、 WordPress插件 Huge-IT Video Gallery SQL 注入漏洞。 上述漏洞的综合评级为“高危” 。目前,厂商已经发布了“WordPress Huge-IT Video Gallery 插件 SQL 注入漏洞、WordPress 插件 Huge-IT Video Gallery SQL 注入漏洞、WordPress Bulk Delete插件权限提升漏洞”的修补程序。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-08915

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08935

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08917

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08916

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08921

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08933

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08931

http://www.cnvd.org.cn/flaw/show/CNVD-2017-08514

  • ISC BIND 9权限提升漏洞

ISC BIND 是美国 Internet Systems Consortium (ISC) 公司所维护的一套实现了 DNS协议的开源软件。本月,ISC 被披露存在权限提升漏洞,攻击者可利用漏洞在权限进程的上下文中执行任意代码。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布漏洞修补程序。请用户随时关注厂商主页,以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2017-09365