资源预览内容
第1页 / 共9页
第2页 / 共9页
第3页 / 共9页
第4页 / 共9页
第5页 / 共9页
第6页 / 共9页
第7页 / 共9页
第8页 / 共9页
第9页 / 共9页
亲,该文档总共9页全部预览完了,如果喜欢就下载吧!
资源描述
本周漏洞基本情况本周漏洞基本情况 本周信息安全漏洞威胁整体评价级别为中中。 国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞133 个,其中高危漏洞 40 个、中危漏洞 79 个、低危漏洞 14 个。上述漏洞中,可利用来实施远程攻击的漏洞有 108 个。本周收录的漏洞中,已有 106 个漏洞由厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。本周互联网上出现“GOM Player .wav文件拒绝服务漏洞” 、 “Bo-Blog SQL 注入漏洞”等零日攻击代码,请使用相关产品的用户注意加强防范。 成员单位报送漏洞统计成员单位报送漏洞统计 本周,共 7 家成员单位及个人报送了本周收录的全部 133 个漏洞。各单位报送情况如表 1 所示。其中,启明星辰、绿盟科技、安天实验室、天融信等单位报送数量较多。此外,知道创宇公司、High-TechBridgeSecurityResearch Lab 以及个人报送者向 CNVD提交了 8 个原创漏洞。 报送单位或个人报送单位或个人 漏洞报送数量漏洞报送数量 原创漏洞数量原创漏洞数量 启明星辰 132 0 绿盟科技 90 0 天融信 84 0 安天实验室 71 0 恒安嘉新 51 0 东软 3 0 知道创宇 4 2 国家信息安全漏洞共享平台国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报信息安全漏洞周报 2013 年年 09 月月 09 日日-2013 年年 09 月月 15 日日 2013年年 第第37期期 High-Tech Bridge Security Research Lab 1 1 个人 5 5 报送总计 441 8 录入总计 133(去重) 8 表表 1 1 成员单位上报漏洞统计表成员单位上报漏洞统计表 CNVD 整理和发布的漏洞涉及Microsoft、Adobe、Mediawiki 等多家厂商的产品,部分漏洞数量按厂商统计如表 2 所示。 序号序号 厂商(产品)厂商(产品) 漏洞数量漏洞数量 所占比例所占比例 1 Microsoft 16 12% 2 Adobe 14 10% 3 Mediawiki 8 6% 4 IBM 8 6% 5 Open-Xchange 7 5% 6 Cisco 5 4% 7 WordPress 5 4% 8 Cogent Real-Time Systems 3 2% 9 Sophos 2 2% 10 TYPO3 2 2% 11 其它 63 47% 表表 2 漏洞产品涉及厂商分布统计表漏洞产品涉及厂商分布统计表 漏洞按影响类型统计漏洞按影响类型统计 本周, CNVD 收录了 133 个漏洞。 其中应用程序漏洞 95 个, WEB 应用漏洞 20 个,操作系统漏洞 13 个,网络设备漏洞 2 个,安全产品漏洞 3 个。 漏洞影响对象类型漏洞影响对象类型 漏洞数量漏洞数量 应用程序漏洞 95 WEB 应用漏洞 20 网络设备漏洞 2 操作系统漏洞 13 安全产品漏洞 3 数据库漏洞 0 表表 3 3 漏洞按影响类型统计表漏洞按影响类型统计表 图图 1 1 本周漏洞按影响类型分布本周漏洞按影响类型分布 本本周周行业漏洞信息行业漏洞信息 本周, CNVD 收录了 1 个电信行业漏洞和 3 个工控系统行业漏洞 (如下列表所示) 。其中, “D-Link DIR-505 路由器存在多个漏洞”的综合评级为“高危” 。相关厂商已经发布了漏洞修复程序。本周,CNVD 未收录移动互联网行业漏洞。 行业行业 漏洞编号漏洞编号 漏洞标题漏洞标题 危险等危险等 级级 是否有补是否有补 丁丁 电信 CNVD-2013-12987 D-Link DIR-505 路由器存在多 个漏洞 高危 有补丁 工控系统 CNVD-2013-12943 Cogent DataHub 存在未明任意 文件覆盖漏洞 中危 无补丁 工控系统 CNVD-2013-12944 Cogent DataHub 远程拒绝服务 漏洞(CNVD-2013-12944) 中危 无补丁 工控系统 CNVD-2013-12945 Cogent DataHub 远程拒绝服务 漏洞(CNVD-2013-12945) 中危 无补丁 图图 2 2 电信行业漏洞统计电信行业漏洞统计 图图 3 3 工控系统工控系统行业漏洞统计行业漏洞统计 本周重要漏洞信息本周重要漏洞信息 本周,CNVD 整理和发布以下重要安全漏洞信息。 1、Microsoft 产品产品安全漏洞安全漏洞 本周,微软发布了 2013 年 9 月份的月度例行安全公告,共含 13 项更新,修复了Microsoft Windows、 Office、 Internet Explorer、 SharePoint Portal Server、 SharePoint Server、Office Web Apps和FrontPage软件中存在的53个安全漏洞。 其中, MS13-067、 MS13-068、MS13-069 和 MS13-070 项更新综合评级均为最高级“严重”级别,剩余 9 项更新综合评级均为“重要”级别。利用上述漏洞,攻击者可以执行任意代码,提升权限,进行拒绝服务攻击,获取敏感信息。 CNVD 收录的相关漏洞包括: Microsoft Windows Win32k.sys 内存对象处理存在未明本地权限提升漏洞(CNVD-2013-12947、CNVD-2013-12948、CNVD-2013-12949、CNVD-2013-12950、CNVD-2013-12951、CNVD-2013-12952、CNVD-2013-12953) 、Microsoft Windows 特制 OLE 对象处理任意代码执行漏洞等。上述漏洞的综合评级均为“高危” 。厂商已经发布了上述漏洞的修补程序。CNVD 提醒广大 Microsoft 用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 参考链接:http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12947 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12948 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12949 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12950 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12951 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12952 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12953 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12955 2、Adobe 产品产品安全安全漏洞漏洞 本周, Adobe 发布了安全更新公告, 用于修复 AdobeFlash Player、 Shockwave Player、Acrobat、Reader 产品存在的 14 个安全漏洞,相关产品运行在 Windows、Macintosh、Android、Linux 多个平台。利用上述漏洞,攻击者可以在所受影响的系统上执行任意代码,控制系统或使系统崩溃。 CNVD 收录的相关漏洞包括:Adobe Shockwave Player 存在未明内存破坏漏洞(CNVD-2013-12991、CNVD-2013-12992) 、Adobe Reader / Acrobat 存在未明整数溢出漏洞(CNVD-2013-12993、CNVD-2013-12994) 、Adobe Reader / Acrobat 存在未明缓冲区溢出漏洞(CNVD-2013-12960、CNVD-2013-12963) 、Adobe Reader / Acrobat 存在未明内存破坏漏洞(CNVD-2013-12961、CNVD-2013-12962)等。上述漏洞的综合评级均为“高危” 。厂商已经发布了上述漏洞的修补程序。CNVD 提醒广大 Adobe 用户及时下载补丁更新,避免引发漏洞相关的安全事件。 参考链接:http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12991 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12992 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12993 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12994 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12960 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12961 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12962 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12963 3、Cisco 产品产品安全安全漏漏洞洞 Cisco SocialMiner 是一款社交网络监控软件;Cisco Unified IP Phone 8945 Series 是IP 电话终端设备,提供语音、视频等功能。Cisco Adaptive Security Appliance 是一款自适应安全设备,可提供安全和 VPN 服务的模块。本周,上述产品被披露存在多个安全漏洞。攻击者利用漏洞可获得敏感信息,发起拒绝服务攻击。 CNVD 收录的相关漏洞包括:Cisco SocialMiner 信息泄漏漏洞、Cisco Unified IP Phone 8945 Series 拒绝服务漏洞、Cisco Adaptive Security Appliance (ASA) Software 拒绝服务漏洞、Cisco SocialMiner 跨站脚本漏洞。厂商已经发布了除“Cisco SocialMiner 跨站脚本漏洞”外,其余漏洞的修补程序。CNVD 提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 参考链接:http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12989 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12923 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12910 http:/www.cnvd.org.cn/flaw/show/CNVD-2013-12909 4、IBM 产品产品安全漏洞安全漏洞 IBM Rational Requirements Composer 软件是一项需求定义解决方案;IBM Securityl AppScan Enterprise 是一个多用户 Web 应用程序安全解决方案, 提供集中的安全性扫描、数据合并和报告、 补救功能、 执行仪表板等功能。 本周, 上述产品被披露存在多个漏洞,攻击者利用漏洞可获得未授权的访问,获取敏感信息,执行任意代码。 CNVD 收录的相关漏洞包括: IBM Rational Requirements Composer 存在未明验证绕过漏洞、IBM Rational Requirements Composer 存在未明验证绕过漏洞、IBM Rational Requirements Composer
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号