本周漏洞基本情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞 2 33 个,其中高危漏洞 105 个、中危漏洞 118 个、低危漏洞 10 个。上述漏洞中,可利 用来实施远程攻击的漏洞有 209 个。本周收录的漏洞中,已有 205 个漏洞由厂商提供 了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。其中互联网上出 现“Byzanz GIF Encoding 缓冲区溢出漏洞"、"Joomla! CMSJunkie J-ClassifiedsManager 组 件 SQL 注入漏洞”等零日攻击代码,请使用相关产品的用户注意加强防范。
成员单位报送漏洞统计
本周,共 6 家成员单位、合作伙伴及个人报送了本周收录的全部 233 个漏洞。报 送情况如表 1 所示。其中,奇虎 360、安天实验室、天融信、恒安嘉新、启明星辰等 单位报送数量较多。此外,CNCERT 各分中心、High-Tech Bridge Security Research Lab、 北京国舜科技有限公司及白帽子向 CNVD 提交了 1251 个原创漏洞。
本周行业漏洞信息
本周,CNVD 收录了 15 个电信行业漏洞,7 个移动互联网行业漏洞(如下图表所 示)。其中,“Cisco WebEx Meetings Server 命令注入漏洞、PostgreSQL 'to_char()' 函数缓 冲区溢出漏洞、PostgreSQL 'pgcrypto'模块缓冲区溢出漏洞、Cisco IOS Software 拒绝服务 漏洞(CNVD-2015-01122)、Cisco Secure Access Control System SQL 注入漏洞、Google Ch rome for Android 内存错误引用漏洞、Google Chrome for Android 跨域绕过漏洞、Google Chrome for Android 特权提升漏洞、Google Chrome for Android 存在未明漏洞(CNVD-20 15-00944)、FancyFon Software FAMOC SQL 注入漏洞”的综合评级均为“高危”。相关 厂商已经发布了上述漏洞的修补程序。
本周重要漏洞信息
本周,CNVD 整理和发布以下重要安全漏洞信息。
1. Microsoft 产品安全漏洞
2 月 10 日,微软发布了 2015 年 2 月份的月度例行安全公告,共含 9 项更新,修 复了 Microsoft Windows、Internet Explorer、Office 和 Server 软件中存在的 56 个安全漏 洞。其中,3 项更新的综合评级为最高级“严重”级别。利用上述漏洞,攻击者可以 执行远程代码,提升权限,绕过安全功能限制,获得敏感信息。 CNVD 收录的相关漏洞包括: Microsoft Internet Explorer 远程内存破坏漏洞(CNVD -2015-01068、CNVD-2015-01069、CNVD-2015-01055、CNVD-2015-01056、CNVD-2015-0 1057、CNVD-2015-01058、CNVD-2015-01059、CNVD-2015-01060)。上述漏洞的综合评 级均为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户尽快下 载补丁更新,避免引发漏洞相关的网络安全事件。
2. FreeType 产品安全漏洞
FreeType 是 FreeType 团队开发的一个基于 C 语言的、高质量的且可移植的开源字 体引擎库,它可用来将字符栅格化并映射成位图以及提供其他字体相关业务的支持。 本周,上述产品被披露存在拒绝服务漏洞,攻击者可利用漏洞发起拒绝服务攻击。 CNVD 收录的相关漏洞包括:FreeType 'cff/cf2intrp.c'拒绝服务漏洞、FreeType'_bdf_ parse_glyphs'函数拒绝服务漏洞、FreeType 'type42/t42parse.c'拒绝服务漏洞、FreeType ' cff/cf2ft.c'拒绝服务漏洞、FreeType 'tt_cmap4_validate'函数拒绝服务漏洞、FreeType 拒 绝服务漏洞、FreeType 'Load_SBit_Png'函数拒绝服务漏洞、FreeType 'tt_sbit_decoder_ini t'函数拒绝服务漏洞。上述漏洞的综合评级均为“高危”。目前,厂商已经发布了上述漏洞补丁。
3. Adobe 产品安全漏洞
Adobe Flash Player 是一款 Flash 文件处理程序。本周,上述产品被披露存在未明内 存破坏和空指针引用漏洞,攻击者可利用漏洞执行任意代码。 CNVD 收录的相关漏洞包括: Adobe Flash Player 存在未明内存破坏漏洞(CNVD-20 15-00954、CNVD-2015-00963、CNVD-2015-00957、CNVD-2015-00961、CNVD-2015-0096 4、CNVD-2015-01030)、Adobe Flash Player 存在未明空指针引用漏洞(CNVD-2015-0094 9、CNVD-2015-00941)。上述漏洞的综合评级均为“高危”。目前,厂商已经发布了上 述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全 事件。
4、Google 产品安全漏洞
Google Chrome for Android 是一款基于安卓的浏览器。本周,上述产品被披露存在 多个安全漏洞,攻击者可利用漏洞执行任意代码或提升权限。 CNVD 收录的相关漏洞包括:Google Chrome for Android 特权提升漏洞、Google Chr ome for Android 存在未明漏洞(CNVD-2015-00944)、Google Chrome for Android 内存错 误引用漏洞、Google Chrome for Android 跨域绕过漏洞。上述漏洞的综合评级为“高 危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD 提醒用户及时下载补丁更新, 避免引发漏洞相关的网络安全事件。
5、Pragyan CMS SQL 注入漏洞
Pragyan CMS 是一款内容管理系统。本周,Pragyan CMS 被披露存在综合评级为 “高危”的 SQL 注入漏洞。攻击者可以利用漏洞发起 SQL 注入攻击。目前,厂商尚未 发布该漏洞的修补程序。CNVD 提醒广大用户随时关注厂商主页,以获取最新版本。