漏洞ios10.0.3

本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为高.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞568个,其中高危漏洞204个、中危漏洞323个、低危漏洞41个.
漏洞平均分值为6.
13.
本周收录的漏洞中,涉及0day漏洞104个(占18%),其中互联网上出现"Wordpress插件image-gallery-with-slideshowSQL注入漏洞、EyesOfNetworkwebinterfaceSQL注入漏洞"零日代码攻击漏洞.
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数772个,与上周(638个)环比增长21%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞报送情况统计本周报送情况如表1所示.
其中,东软、启明星辰、H3C、华为技术有限公司、安天实验室等单位报送数量较多.
聚锋信息安全实验室、深圳市鼎安天下信息科技有限公司、中新网络信息安全股份有限公司、四川虹微技术有限公司(子午攻防实验室)、聚5.
945.
736.
426.
276.
106.
385.
445.
825.
675.
936.
135.
005.
205.
405.
605.
806.
006.
206.
406.
606.
807.
00CNVD收录漏洞近10周平均分值分布图国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2017年11月13日-2017年11月19日2017年第47期锋信息安全实验室、长沙天融信网络安全技术有限公司、福建榕基软件股份有限公司、广州软云计算机科技有限公司、南瑞集团公司(国网电力科学研究院)及其他个人白帽子向CNVD提交了772个以事件型漏洞为主的原创漏洞.
表1漏洞报送情况统计表报送单位或个人漏洞报送数量原创漏洞数量东软2621启明星辰2590H3C2252华为技术有限公司2130360网神207207安天实验室2020漏洞盒子168168恒安嘉新1140绿盟科技910中国电信集团系统集成有限责任公司760天融信686杭州安恒信息技术有限公司490深圳市腾讯计算机系统有限公司(玄武实验室)1919广西鑫瀚科技有限公司55知道创宇33聚锋信息安全实验室1616深圳市鼎安天下信息科技有限公司1414中新网络信息安全股份有限公司77四川虹微技术有限公司(子午攻防实验室)66聚锋信息安全实验室33长沙天融信网络安全技术有限公司22福建榕基软件股份有限公司22广州软云计算机科技有限公司11南瑞集团公司(国网电力科学研究院)11CNCERT浙江分中心55CNCERT广东分中心22CNCERT新疆分中心22个人300300报送总计2322772本周漏洞按类型和厂商统计本周,CNVD收录了568个漏洞.
其中应用程序漏洞335个,操作系统漏洞92个,web应用漏洞68个,网络设备漏洞67个,数据库漏洞3个,安全产品漏洞3个.
表2漏洞按影响类型统计表漏洞影响对象类型漏洞数量应用程序漏洞335操作系统漏洞92web应用漏洞68网络设备漏洞67安全产品漏洞3数据库漏洞3图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Apple、Huawei、IBM等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
表3漏洞产品涉及厂商分布统计表序号厂商(产品)漏洞数量所占比例1Apple7714%2Huawei377%3IBM356%4Cisco244%5Google214%6Apache204%7Oracle183%8Foscam122%9Microsoft102%10其他31454%本周行业漏洞收录情况本周,CNVD收录了17个电信行业漏洞,83个移动互联网行业漏洞,11个工控行业漏洞(如下图所示).
其中,"CiscoASR1000未授权访问漏洞、NTTDOCOMOWi-FiSTATIONL-02FSoftware存在后门漏洞、多款Apple产品WebKit代码执行漏洞、web应用漏洞12%安全产品漏洞1%应用程序漏洞59%操作系统漏洞16%数据库漏洞1%网络设备漏洞11%本周CNVD漏洞数量按影响类型分布多款MoxaNport产品拒绝服务漏洞、SICAMRTUSM-2556COM模块任意代码执行漏洞"等漏洞的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计061218高危中危低危有补丁710017电信行业漏洞评级按周统计高危中危低危有补丁0285684高危中危低危有补丁2359173移动互联网行业漏洞评级按周统计高危中危低危有补丁图5工控行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Microsoftoffice组件安全漏洞MicrosoftOffice是微软公司开发的一套基于Windows操作系统的办公软件套装.
本周,该产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码.
CNVD收录的相关漏洞包括:Microsoftoffice组件EQNEDT32.
EXE存在内存破坏漏洞.
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-340312、Apple产品安全漏洞AppleiOS、iCloudforWindows、iTunesforWindows、Safari和tvOS都是美国苹果(Apple)公司的产品.
AppleiOS是一套为专移动设备所开发的一套操作系统;Safari是一款Web浏览器.
WebKit是其中的一个Web浏览器引擎组件.
本周,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码.
CNVD收录的相关漏洞包括:多款Apple产品WebKit内存破坏漏洞(CNVD-2017-34326、CNVD-2017-34327、CNVD-2017-34328、CNVD-2017-34329、CNVD-2017-34330、CNVD-2017-34331、CNVD-2017-34332、CNVD-2017-34333).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34326http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34327http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34328http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-3432904812高危中危低危有补丁7409工控系统行业漏洞评级按周统计高危中危低危有补丁http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34330http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34331http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34332http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-343333、Apache产品安全漏洞ApacheCouchDB是美国阿帕奇软件基金会的一个数据库.
ApacheTrafficServer是一款HTTP代理和缓存服务器.
ApacheStorm是一套分布式实时计算系统.
本周,该产品被披露存在远程代码执行和目录遍历漏洞,攻击者可利用漏洞执行任意代码或读取任意文件.
CNVD收录的相关漏洞包括:ApacheBrooklyn远程代码执行漏洞、ApacheCouchDB权限提升漏洞、ApacheCouchDB远程代码执行漏洞、ApacheJamesjava反序列化任意命令执行漏洞、ApacheOpenNLPXXE漏洞、ApacheSpark反序列化的程代码执行漏洞、ApacheStorm目录遍历漏洞、ApacheTrafficServer远程代码执行漏洞.
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34168http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34233http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34234http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34170http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34181http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34169http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34236http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-344694、Huawei产品安全漏洞HuaweiRP200及TE系列及都是华为公司面向高端客户的一体化桌面智真产品及高清视频会议终端产品.
HuaweiFusionSphere是基于OpenStack框架开发的云操作系统产品.
HuaweiME906S-158是一款笔记本电脑.
HuaweiUMA是一款统一审计系统.
HuaweiVIE-L09是华一款智能手机.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或发起注入攻击等.
CNVD收录的相关漏洞包括:HuaweiFusionSphereSQL注入漏洞、HuaweiFusionSphere命令注入漏洞、HuaweiME906S权限提升漏洞、HuaweiUMA产品SQL注入漏洞、HuaweiVIE-L09缓冲区溢出漏洞、多款Huawei产品越界读漏洞(CNVD-2017-34418、CNVD-2017-34419、CNVD-2017-34420).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-33878http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-33877http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34438http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34272http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34411http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34418http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34419http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-344205、PhilipsIntelliSpaceCardiovascularSystemandXceleraSystem明文存储漏洞PhilipsIntelliSpaceCardiovascular和Xcelera系统是全面的心脏影像和信息管理软件.
本周,Philips被披露存在明文存储漏洞,具有较高特权的攻击者获得对数据的未经授权访问,包括患者健康信息,系统资源和误用连接资产.
目前,厂商尚未发布漏洞修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2017-34035更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htmCNVD编号漏洞名称综合评级修复方式CNVD-2017-33662InterspireEmailMarketer安全绕过漏洞高用户可联系供应商获得补丁信息:http://www.
exploitalert.
com/view-details.
htmlid=27810CNVD-2017-33738GNUCLibrary'glob'函数堆缓冲区溢出漏洞高目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.
gnu.
orgCNVD-2017-33749FortinetFortiClient权限提升漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:http://fortiguard.
com/psirt/FG-IR-16-095CNVD-2017-33792多款JustSystems产品内存破坏漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
justsystems.
com/jp/info/js17003.
htmlCNVD-2017-33809DattoWindowsAgent命令执行漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
datto.
com/partner-security-update-nov2017CNVD-2017-33811QNAP远程命令执行漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
qnap.
com/zh-hk/releasenotes/CNVD-2017-33849AnyDesk劫持漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://download.
anydesk.
com/changelog.
txtCNVD-2017-34265FoscamIPVideoCamera命令注入漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:http://www.
foscam.
com/downloads/index.
htmlCNVD-2017-34267FoscamIPVideoCamera缓冲区溢出漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:http://www.
foscam.
com/downloads/index.
htmlCNVD-2017-34436Samba任意文件写入漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:http://www.
samba.
org/samba/security/表4部分重要高危漏洞列表小结:本周,Microsoftoffice组件被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码.
此外,Apple、Apache、Huawei等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、执行任意代码或发起拒命令注入攻击等.
另外,Philips被披露存在明文存储漏洞,具有较高特权的攻击者获得对数据的未经授权访问,包括患者健康信息,系统资源和误用连接资产.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周漏洞要闻速递1.
微软PatchTuesday修复三则重要漏洞微软在PatchTuesday中修复了53个安全漏洞,涉及的产品包括Windows操作系统、Office、InternetExplorer、MicrosoftEdge、ASP.
NETCore、.
NETCore以及ChackraCore浏览器引擎.
这其中包括三枚重要的漏洞,WindowsEOT字体引擎信息泄露漏洞(CVE-2017-11832)、Windows内核信息泄露漏洞(CVE-2017-11853),MicrosoftExcel安全功能绕过漏洞(CVE-2017-11877).
参考链接:http://www.
freebuf.
com/news/154083.
html2.
IBMX-Force发现新型银行木马IcedID近日,IBMX-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为"IcedID",该银行木马目前似乎还正处于开发的初始阶段.
像TrickBoty银行木马和Dridex银行木马类似,IcedID也可以使用Web注入(注入浏览器进程显示重叠在原页面上的虚假内容)和重定向攻击(安装本地代理将用户重定向到恶意网站)技术来执行窃取受害者的财务数据.
参考链接:http://www.
freebuf.
com/news/154179.
html关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82991537