• 风险预警
  • 第17周网络安全风险提示

  • 第17周网络安全风险提示

    (发布日期:2023年6月13日)

    一、重要漏洞安全提示

    1.Microsoft产品安全漏洞

    Microsoft Windows DNS是美国微软(Microsoft)公司的一个域名解析服务。域名系统(DNS)是包含TCP / IP的行业标准协议套件之一,并且DNS客户端和DNS服务器共同为计算机和用户提供计算机名称到IP地址的映射名称解析服务。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,远程代码执行。

    CNVD收录的相关漏洞包括:Microsoft Windows DNS远程代码执行漏洞(CNVD-2023-44299、CNVD-2023-44297、CNVD-2023-44298、CNVD-2023-44303、CNVD-2023-44302、CNVD-2023-44300、CNVD-2023-44304)、Microsoft Windows DNS信息泄露漏洞。其中,除“Microsoft Windows DNS信息泄露漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44299

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44298

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44297

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44303

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44302

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44301

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44300

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44304


    2.Google产品安全漏洞

    Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。Google TensorFlow是一套用于机器学习的端到端开源平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏,导致内存损坏,执行任意代码或造成拒绝服务等。

    CNVD收录的相关漏洞包括:Google Chrome Navigation内存错误引用漏洞、Google Android资源管理错误漏洞(CNVD-2023-43880)、Google Android输入验证错误漏洞(CNVD-2023-43879)、Google Chrome类型混淆漏洞(CNVD-2023-43877)、Google Chrome缓冲区溢出漏洞(CNVD-2023-43887、CNVD-2023-43886、CNVD-2023-43885)、Google TensorFlow缓冲区溢出漏洞(CNVD-2023-43888)。其中,除“Google Android资源管理错误漏洞(CNVD-2023-43880)、Google Android输入验证错误漏洞(CNVD-2023-43879)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43876

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43880

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43879

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43877

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43887

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43886

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43885

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43888


    3.Adobe产品安全漏洞

    Adobe Substance 3D Stager是美国奥多比(Adobe)公司的一个虚拟3D工作室。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行代码。

    CNVD收录的相关漏洞包括:Adobe Substance 3D Stager堆缓冲区溢出漏洞(CNVD-2023-43891、CNVD-2023-43895)、Adobe Substance 3D Stager越界写入漏洞(CNVD-2023-43897、CNVD-2023-43893)、Adobe Substance 3D Stager内存错误引用漏洞、Adobe Substance 3D Stager越界读取漏洞(CNVD-2023-43894、CNVD-2023-43899、CNVD-2023-43890)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43891

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43890

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43893

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43892

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43895

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43894

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43897

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-43899


    4.Rockwell Automation产品安全漏洞

    Rockwell Automation ArmorStart ST是美国罗克韦尔(Rockwell Automation)公司的一种用于机旁控制架构的简单而经济实用的解决方案。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话,查看和修改敏感数据或使网页不可用等。

    CNVD收录的相关漏洞包括:Rockwell Automation ArmorStart ST跨站脚本漏洞(CNVD-2023-44289、CNVD-2023-44288、CNVD-2023-44293、CNVD-2023-44292、CNVD-2023-44291、CNVD-2023-44290、CNVD-2023-44296、CNVD-2023-44295)。其中,“Rockwell Automation ArmorStart ST跨站脚本漏洞(CNVD-2023-44292、CNVD-2023-44296)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

    参考链接:

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44289

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44288

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44293

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44292

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44291

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44290

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44296

    https://www.cnvd.org.cn/flaw/show/CNVD-2023-44295


    5.ASUS RT-AC86U缓冲区溢出漏洞

    ASUS RT-AC86U是中国华硕(ASUS)公司的一款双频Wi-Fi路由器。本周,ASUS RT-AC86U被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意系统命令、中断系统或终止服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

    参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-45450

     

    (重要漏洞安全提示内容来源:国家信息安全漏洞共享平台www.cnvd.org.cn

     

    二、网络安全重点工作提示

    1.请对以上漏洞排查、修复。

    2.对所属办公室、实验室、教室、机房等所有接入校园网络的电脑和服务器,开展安全自检。安装、升级火绒终端安全管理系统(下载地址:http://172.20.252.2),及时更新操作系统、钉钉、浏览器软件等。

    3.请各网络安全管理员落实工作,提示本部门做好以上工作。  

  • 上一篇: 第18周网络安全风险提示
  • 下一篇:第16周网络安全风险提示