freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安全狗提醒:CNVD提示近期这些漏洞要注意提防
  • 关注
安全狗提醒:CNVD提示近期这些漏洞要注意提防
2019-03-29 17:44:55

近期,CNVD发布了一批重要的安全漏洞信息,涉及面广、后果较为严重,建议用户根据自身情况尽快排查和处理。

1、Google产品安全漏洞

Google Chrome是一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码等。

CNVD收录的相关漏洞包括:

Google Chrome不可信输入验证漏洞

Google Chrome for android信息泄露漏洞

Google Chrome SVG对象类型混淆漏洞

Google Android Framework权限提升漏洞

Google Chrome命令执行漏洞

Google Android NVIDIA组件权限提升漏洞

Google Chrome QUIC网络实现错误漏洞

Google Chrome V8负0错误处理漏洞

其中,“Google Android Framework权限提升漏洞、Google Android NVIDIA组件权限提升漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。用户应当及时下载补丁更新,避免引发漏洞相关的网络安全事件。

2、Microsoft产品安全漏洞

Windows采用了图形化模式GUI。Windows Subsystem for Linux(简称WSL)是一个为在Windows 10和Windows Server 2019上能够原生运行Linux二进制可执行文件(ELF格式)的兼容层。Edge是微软为Windows 10打造的浏览器。Microsoft Office是一款办公软件套件产品。Microsoft SharePoint是一套企业业务协作平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行跨站脚本攻击,获取敏感信息,执行任意代码。

CNVD收录的相关漏洞包括:

Microsoft Edge Chakra脚本引擎内存破坏漏洞(CNVD-2019-07383、CNVD-2019-07384、CNVD-2019-07386、CNVD-2019-07385、CNVD-2019-07387)

Microsoft Windows Kernel信息泄露漏洞

Microsoft Office Access Connectivity Engine远程代码执行漏洞

Microsoft Office SharePoint跨站脚本漏洞

其中,除“Microsoft Windows Kernel信息泄露漏洞、Microsoft Office SharePoint跨站脚本漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。用户应对及时下载补丁更新,避免引发漏洞相关的网络安全事件。

3、libssh2产品安全漏洞

libssh2是一款实现SSH2协议的客户端C库,它能够执行远程命令、文件传输,同时为远程的程序提供安全的传输通道。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞造成拒绝服务或读取客户端内存中的数据,在客户端系统上执行代码。

CNVD收录的相关漏洞包括:

libssh2整数溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799、CNVD-2019-07797、CNVD-2019-07800、CNVD-2019-07801、CNVD-2019-07802、CNVD-2019-07803)

其中,“libssh2整数溢出漏洞(CNVD-2019-07796、CNVD-2019-07798、CNVD-2019-07799)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

4、WordPress产品安全漏洞

WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。本周,该产品被披露存在打开重定向漏洞,攻击者可利用漏洞进行网络钓鱼诈骗并窃取用户凭据。

CNVD收录的相关漏洞包括:

WordPress UsaMusic-PCThemes打开重定向漏洞

WordPress Concise Themes打开重定向漏洞

WordPress 2018110612035976 Themes打开重定向漏洞

WordPress BigChrome Themes打开重定向漏洞

WordPress Zangai Themes打开重定向漏洞

WordPress Wngzs Themes打开重定向漏洞

WordPress itiis Themes打开重定向漏洞

WordPress Themes打开重定向漏洞

目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。用户应随时关注厂商主页以获取最新版本。

5、LayerBB SQL注入漏洞

LayerBB是一套小型论坛软件。本周,LayerBB被披露存在SQL注入漏洞。远程攻击者可通过向search.php文件发送‘search_query’参数利用该漏洞执行SQL命令。广大用户最好随时关注厂商主页,以获取最新版本。


本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者