您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(2022年第33期)
(2022年8月8日至2022年8月14日)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周(2022年8月8日至2022年8月14日)安全漏洞情況如下:
公開漏洞情況
本周CNNVD采集安全漏洞543個。
接報漏洞情況
本周CNNVD接報漏洞1243個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)72個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)57個,漏洞平臺推送漏洞1114個。
重大漏洞通報
微軟多個安全漏洞:包括Microsoft Windows 權(quán)限許可和訪問控制問題漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 輸入驗(yàn)證錯誤漏洞(CNNVD-202207-1096、CVE-2022-22024),成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周新增安全漏洞543個,漏洞新增數(shù)量有所上升。從廠商分布來看微軟公司新增漏洞最多,有121個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達(dá)到5.71%。新增漏洞中,超危漏洞56個,高危漏洞198個,中危漏洞284個,低危漏洞5個。相應(yīng)修復(fù)率分別為53.57%、83.84%、80.28%和80.00%。根據(jù)補(bǔ)丁信息統(tǒng)計,合計428個漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為78.82%。
(一) 安全漏洞增長數(shù)量情況
本周CNNVD采集安全漏洞543個。
圖1 近五周漏洞新增數(shù)量統(tǒng)計圖
(二) 安全漏洞分布情況
從廠商分布來看,微軟公司新增漏洞最多,有121個。各廠商漏洞數(shù)量分布如表1所示。
表1 新增安全漏洞排名前五廠商統(tǒng)計表
本周國內(nèi)廠商漏洞26個,睿因科技公司漏洞數(shù)量最多,有16個。國內(nèi)廠商漏洞整體修復(fù)率為11.11%。請受影響用戶關(guān)注廠商修復(fù)情況,及時下載補(bǔ)丁修復(fù)漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達(dá)到5.71%。漏洞類型統(tǒng)計如表3所示。
表2 漏洞類型統(tǒng)計表
(三) 安全漏洞危害等級與修復(fù)情況
本周共發(fā)布超危漏洞56個,高危漏洞198個,中危漏洞284個,低危漏洞5個。相應(yīng)修復(fù)率分別為53.57%、83.84%、80.28%和80.00%。根據(jù)補(bǔ)丁信息統(tǒng)計,合計428個漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為78.82%。詳細(xì)情況如表3所示。
表3 漏洞危害等級與修復(fù)情況
(四) 本周重要漏洞實(shí)例
本周重要漏洞實(shí)例如表4所示。
表4 本期重要漏洞實(shí)例
1.Microsoft Exchange Server 安全漏洞(CNNVD-202208-2491)
Microsoft Exchange Server是美國微軟(Microsoft)公司的一套電子郵件服務(wù)程序。它提供郵件存取、儲存、轉(zhuǎn)發(fā),語音郵件,郵件過濾篩選等功能。
Microsoft Exchange Server存在安全漏洞。以下產(chǎn)品和版本受到影響:Microsoft Exchange Server 2016 Cumulative Update 22、Microsoft Exchange Server 2019 Cumulative Update 11、Microsoft Exchange Server 2013 Cumulative Update 23、Microsoft Exchange Server 2019 Cumulative Update 12、Microsoft Exchange Server 2016 Cumulative Update 23。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24516
2. WordPress Plugin Frontend File Manager & Sharing 代碼問題漏洞(CNNVD-202208-2462)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。
WordPress Plugin Frontend File Manager & Sharing 1.1.3之前版本存在代碼問題漏洞,該漏洞源于用戶上傳文件時程序沒有過濾文件擴(kuò)展名。攻擊者利用該漏洞可以上傳惡意代碼。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://wpscan.com/vulnerability/67f3948e-27d4-47a8-8572-616143b9cf43
3. Google Android 安全漏洞(CNNVD-202208-2867)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android 13存在安全漏洞,該漏洞源于系統(tǒng)缺少權(quán)限檢查導(dǎo)致。攻擊者利用該漏洞可以升級本地權(quán)限并調(diào)整 Wi-Fi 設(shè)置。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,補(bǔ)丁獲取鏈接:
https://source.android.com/security/bulletin/android-13
二、漏洞平臺推送情況
本周漏洞平臺推送漏洞1114個。
三、接報漏洞情況
本周CNNVD接報漏洞129個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)72個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)57個。(詳情略)
四、接報漏洞通報情況
本周CNNVD接報漏洞通報98份。(詳情略)
五、重大漏洞通報
CNNVD關(guān)于微軟多個安全漏洞的通報
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞86個,影響到微軟產(chǎn)品的其他廠商漏洞3個。包括Microsoft Windows 權(quán)限許可和訪問控制問題漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 輸入驗(yàn)證錯誤漏洞(CNNVD-202207-1096、CVE-2022-22024)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
. 漏洞介紹
2022年7月12日,微軟發(fā)布了2022年7月份安全更新,共89個漏洞的補(bǔ)丁程序,CNNVD對這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Visual Studio、Microsoft Windows Shell、Microsoft Graphics Component、 Microsoft Azure、Microsoft Internet Information Services等。CNNVD對其危害等級進(jìn)行了評價,其中高危漏洞40個,中危漏洞47個,低危漏洞2個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問
https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。
. 危害影響
此次更新共包括82個新增漏洞的補(bǔ)丁程序,其中高危漏洞38個,中危漏洞44個。
此次更新共包括4個更新漏洞的補(bǔ)丁程序,其中高危漏洞2個,中危漏洞2個。
此次更新共包括3個影響微軟產(chǎn)品的其他廠商漏洞的補(bǔ)丁程序,其中中危漏洞1個,低危漏洞2個。
. 修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)