Anonymous 发表于 2022-9-21 14:02:31

信息安全漏洞周报(2022年第38期)

根据国家信息安全漏洞库(CNNVD)统计,本周(2022年9月12日至2022年9月18日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞639个。

接报漏洞情况

本周CNNVD接报漏洞5168个,其中信息技术产品漏洞(通用型漏洞)152个,网络信息系统漏洞(事件型漏洞)138个,漏洞平台推送漏洞4878个。

重大漏洞通报

微软多个安全漏洞:包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721),成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞639个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有68个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到11.74%。新增漏洞中,超危漏洞61个,高危漏洞267个,中危漏洞300个,低危漏洞11个。相应修复率分别为67.21%、68.54%、78.33%和81.82%。根据补丁信息统计,合计468个漏洞已有修复补丁发布,整体修复率为73.24%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞639个。



图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,谷歌公司新增漏洞最多,有68个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

谷歌

68

10.64%


2

微软

62

9.70%


3

Adobe

51

7.98%


4

西门子

23

3.60%


5

WordPress基金会

19

2.97%


本周国内厂商漏洞33个,吉翁电子漏洞数量最多,有7个。国内厂商漏洞整体修复率为45.10%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到11.74%。漏洞类型统计如表3所示。

表2 漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

缓冲区错误

75

11.74%


2

跨站脚本

55

8.61%


3

SQL注入

35

5.48%


4

代码问题

28

4.38%


5

资源管理错误

20

3.13%


6

输入验证错误

18

2.82%


7

信息泄露

10

1.56%


8

授权问题

8

1.25%


9

命令注入

7

1.10%


10

跨站请求伪造

6

0.94%


11

路径遍历

6

0.94%


12

信任管理问题

5

0.78%


13

操作系统命令注入

3

0.47%


14

权限许可和访问控制问题

2

0.31%


15

访问控制错误

2

0.31%


16

代码注入

2

0.31%


17

竞争条件问题

2

0.31%


18

数据伪造问题

2

0.31%


19

注入

2

0.31%


20

加密问题

1

0.16%


21

后置链接

1

0.16%


22

数字错误

1

0.16%


23

日志信息泄露

1

0.16%


24

其他

347

54.30%

(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞61个,高危漏洞267个,中危漏洞300个,低危漏洞11个。相应修复率分别为67.21%、68.54%、78.33%和81.82%。根据补丁信息统计,合计468个漏洞已有修复补丁发布,整体修复率为73.24%。详细情况如表3所示。

表3 漏洞危害等级与修复情况


序号

危害等级

漏洞数量(个)

修复数量(个)

修复率


1

超危

61

41

67.21%


2

高危

267

183

68.54%


3

中危

300

235

78.33%


4

低危

11

9

81.82%


合计

639

468

73.24%

(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例


序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级


类型


1

其他

CNNVD-202209-911

微软

Microsoft Windows 安全漏洞



超危


2

其他

CNNVD-202209-777

苹果

Apple macOS Safari 安全漏洞



高危


3

其他

CNNVD-202209-1403

谷歌

Google Chrome 安全漏洞



高危


1.Microsoft Windows 安全漏洞(CNNVD-202209-911)

Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。

Microsoft WindowsIKE Extension存在安全漏洞。以下产品和版本受到影响:Windows 10 Version1607 for x64-based Systems,Windows Server 2016、WindowsServer 2016 (Server Core installation)、Windows 7 for32-bit Systems Service Pack 1、Windows 7 for x64-basedSystems Service Pack 1、Windows 8.1 for 32-bit systems、Windows 8.1 for x64-based systems、Windows RT 8.1、Windows Server 2008 for 32-bit Systems Service Pack 2等。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34722

2.Apple macOS Safari 安全漏洞(CNNVD-202209-777)

Apple Safari等都是美国苹果(Apple)公司的产品。Apple Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。ApplemacOS Big Sur是苹果公司用于MAC操作系统macOS的第17个主要版本。Apple macOS Monterey是用于麦金塔桌面操作系统macOS的第18个主要版本。

Apple macOS Big Sur和ApplemacOS Monterey的Safari 16之前版本存在安全漏洞,该漏洞源于在处理恶意制作的网页内容时可能会导致任意代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.apple.com/en-us/HT213442

3.Google Chrome 安全漏洞(CNNVD-202209-1403)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 104版本及之前版本存在安全漏洞,该漏洞源于存在内存释放后重用情况。攻击者利用该漏洞恶意构建网页内容,导致在浏览器进程中执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://chromereleases.googleblo ... for-desktop_16.html

二、漏洞平台推送情况

    本周漏洞平台推送漏洞4878个。


序号

漏洞平台

漏洞总量


1

漏洞盒子

3163


2

360漏洞云

1621


3

补天平台

94


推送总计

4878


三、接报漏洞情况

本周CNNVD接报漏洞290个,其中信息技术产品漏洞(通用型漏洞)152个,网络信息系统漏洞(事件型漏洞)138个。


序号

报送单位

漏洞总量


1

广东默究科技有限公司

93


2

西安四叶草信息技术有限公司

79


3

北京华云安信息技术有限公司

47


4

科来网络技术股份有限公司

15


5

奇安信网神信息技术(北京)股份有限公司

14


6

北京北京长亭科技有限公司有限公司

10


7

北京启明星辰信息安全技术有限公司

4


8

广州竞远安全技术股份有限公司

4


9

河南悦海数安科技有限公司

4


10

内蒙古思沃科技有限公司

3


11

上海上讯信息技术股份有限公司

3


12

北京京东尚科信息技术有限公司

2


13

杭州迪普科技有限公司

2


14

北京天融信网络安全技术有限公司

1


15

福建银数信息技术有限公司

1


16

广州易东信息安全技术有限公司

1


17

浪潮电子信息产业股份有限公司

1


18

绿盟科技集团股份有限公司

1


19

山东云天安全技术有限公司

1


20

上海斗象信息科技有限公司

1


21

上海谋乐网络科技有限公司

1


22

新华三技术有限公司

1


23

中兴通讯

1


报送总计

290


四、接报漏洞通报情况

本周CNNVD接报漏洞通报95份。


序号

报送单位

通报总量


1

杭州迪普科技股份有限公司

30


2

深信服科技股份有限公司

14


3

浙江大华技术股份有限公司

12


4

北京华顺信安科技有限公司

4


5

道普信息技术有限公司

4


6

北京神州绿盟科技有限公司

3


7

北京永信至诚科技股份有限公司

3


8

河南悦海数安科技有限公司

3


9

上海斗象信息科技有限公司

3


10

长春嘉诚信息技术股份有限公司

3


11

福建银数信息技术有限公司

2


12

北京数字观星科技有限公司

2


13

奇安信网神信息技术(北京)股份有限公司

2


14

北京安天网络安全技术有限公司

1


15

北京华云安信息技术有限公司

1


16

北京天融信网络安全技术有限公司

1


17

北京知道创宇信息技术股份有限公司

1


18

杭州安恒信息技术股份有限公司

1


19

南京铱迅信息技术股份有限公司

1


20

上海安识网络科技有公司

1


21

腾讯公司

1


22

新华三技术有限公司

1


23

远江盛邦(北京)网络安全科技股份有限公司

1


报送总计

95


五、重大漏洞通报

CNNVD关于微软多个安全漏洞的通报

近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞62个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

.漏洞介绍

2022年9月13日,微软发布了2022年9月份安全更新,共63个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft HTTP.sys、Microsoft LightweightDirectory Access Protocol、Microsoft Windows DNS、Microsoft Windows Fax Service、MicrosoftSharePoint等。CNNVD对其危害等级进行了评价,其中超危漏洞3个,高危漏洞52个,中危漏洞8个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

.危害影响

此次更新共包括62个新增漏洞的补丁程序,其中超危漏洞3个,高危漏洞52个,中危漏洞7个。


序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接


1

MicrosoftWindows TCP/IP component 安全漏洞

CNNVD-202209-917

CVE-2022-34718

超危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34718


2

MicrosoftWindows 安全漏洞

CNNVD-202209-913

CVE-2022-34721

超危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34721


3

MicrosoftWindows 安全漏洞

CNNVD-202209-911

CVE-2022-34722

超危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34722


4

MicrosoftWindows 安全漏洞

CNNVD-202209-922

CVE-2022-26928

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26928


5

Microsoft.NET Framework 安全漏洞

CNNVD-202209-908

CVE-2022-26929

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26929


6

MicrosoftWindows 安全漏洞

CNNVD-202209-924

CVE-2022-30170

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30170


7

MicrosoftWindows 安全漏洞

CNNVD-202209-927

CVE-2022-30196

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30196


8

MicrosoftLightweight Directory Access Protocol 安全漏洞

CNNVD-202209-925

CVE-2022-30200

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30200


9

MicrosoftWindows Kerberos 安全漏洞

CNNVD-202209-923

CVE-2022-33647

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33647


10

MicrosoftWindows Kerberos 安全漏洞

CNNVD-202209-921

CVE-2022-33679

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33679


11

MicrosoftDynamics 安全漏洞

CNNVD-202209-918

CVE-2022-34700

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34700


12

MicrosoftWindows 安全漏洞

CNNVD-202209-916

CVE-2022-34719

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34719


13

MicrosoftWindows 安全漏洞

CNNVD-202209-915

CVE-2022-34720

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34720


14

MicrosoftWindows DNS 安全漏洞

CNNVD-202209-907

CVE-2022-34724

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34724


15

MicrosoftWindows ALPC 安全漏洞

CNNVD-202209-905

CVE-2022-34725

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34725


16

MicrosoftWindows 安全漏洞

CNNVD-202209-901

CVE-2022-34726

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34726


17

MicrosoftWindows 安全漏洞

CNNVD-202209-893

CVE-2022-34727

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34727


18

MicrosoftGraphics Component 安全漏洞

CNNVD-202209-880

CVE-2022-34729

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34729


19

MicrosoftWindows ODBC Driver 安全漏洞

CNNVD-202209-871

CVE-2022-34730

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34730


20

MicrosoftWindows OLE 安全漏洞

CNNVD-202209-862

CVE-2022-34731

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34731


21

MicrosoftWindows 安全漏洞

CNNVD-202209-850

CVE-2022-34732

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34732


22

MicrosoftWindows 安全漏洞

CNNVD-202209-841

CVE-2022-34733

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34733


23

MicrosoftWindows ODBC Driver 安全漏洞

CNNVD-202209-837

CVE-2022-34734

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34734


24

MicrosoftWindows Common Log File System Driver 安全漏洞

CNNVD-202209-836

CVE-2022-35803

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35803


25

MicrosoftDynamics 安全漏洞

CNNVD-202209-912

CVE-2022-35805

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35805


26

MicrosoftSharePoint 安全漏洞

CNNVD-202209-808

CVE-2022-35823

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35823


27

MicrosoftDefender 安全漏洞

CNNVD-202209-910

CVE-2022-35828

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35828


28

MicrosoftWindows Remote Procedure Call Runtime 安全漏洞

CNNVD-202209-834

CVE-2022-35830

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35830


29

MicrosoftWindows 安全漏洞

CNNVD-202209-830

CVE-2022-35833

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35833


30

MicrosoftWindows 安全漏洞

CNNVD-202209-829

CVE-2022-35834

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35834


31

MicrosoftWindows 安全漏洞

CNNVD-202209-828

CVE-2022-35835

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35835


32

MicrosoftWindows 安全漏洞

CNNVD-202209-827

CVE-2022-35836

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35836


33

MicrosoftHTTP.sys 安全漏洞

CNNVD-202209-825

CVE-2022-35838

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35838


34

MicrosoftWindows 安全漏洞

CNNVD-202209-824

CVE-2022-35840

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35840


35

MicrosoftWindows 安全漏洞

CNNVD-202209-823

CVE-2022-35841

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35841


36

MicrosoftGraphics Component 安全漏洞

CNNVD-202209-822

CVE-2022-37954

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37954


37

MicrosoftWindows 安全漏洞

CNNVD-202209-821

CVE-2022-37955

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37955


38

MicrosoftWindows Kernel 安全漏洞

CNNVD-202209-820

CVE-2022-37956

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37956


39

MicrosoftWindows Kernel 安全漏洞

CNNVD-202209-819

CVE-2022-37957

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37957


40

MicrosoftWindows 安全漏洞

CNNVD-202209-818

CVE-2022-37958

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37958


41

MicrosoftSharePoint 安全漏洞

CNNVD-202209-806

CVE-2022-37961

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37961


42

MicrosoftOffice 安全漏洞

CNNVD-202209-805

CVE-2022-37962

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37962


43

MicrosoftOffice Visio 安全漏洞

CNNVD-202209-803

CVE-2022-37963

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37963


44

MicrosoftWindows Kernel 安全漏洞

CNNVD-202209-816

CVE-2022-37964

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37964


45

MicrosoftWindows Common Log File System Driver 安全漏洞

CNNVD-202209-812

CVE-2022-37969

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37969


46

MicrosoftWindows Fax Service 安全漏洞

CNNVD-202209-814

CVE-2022-38004

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38004


47

MicrosoftWindows Print Spooler Components 安全漏洞

CNNVD-202209-815

CVE-2022-38005

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38005


48

MicrosoftAzure 安全漏洞

CNNVD-202209-906

CVE-2022-38007

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38007


49

MicrosoftSharePoint 安全漏洞

CNNVD-202209-807

CVE-2022-38008

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38008


50

MicrosoftSharePoint 安全漏洞

CNNVD-202209-810

CVE-2022-38009

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38009


51

MicrosoftOffice Visio 安全漏洞

CNNVD-202209-800

CVE-2022-38010

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38010


52

MicrosoftWindows Codecs Library 安全漏洞

CNNVD-202209-904

CVE-2022-38011

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38011


53

Microsoft.NET Core和Microsoft Visual Studio 安全漏洞

CNNVD-202209-835

CVE-2022-38013

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38013


54

MicrosoftWindows Codecs Library 安全漏洞

CNNVD-202209-903

CVE-2022-38019

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38019


55

MicrosoftVisual Studio Code 安全漏洞

CNNVD-202209-902

CVE-2022-38020

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38020


56

MicrosoftWindows 安全漏洞

CNNVD-202209-909

CVE-2022-34723

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34723


57

MicrosoftWindows 安全漏洞

CNNVD-202209-888

CVE-2022-34728

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34728


58

MicrosoftWindows Remote Access Connection Manager 安全漏洞

CNNVD-202209-832

CVE-2022-35831

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35831


59

MicrosoftWindows Event Tracing 安全漏洞

CNNVD-202209-831

CVE-2022-35832

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35832


60

MicrosoftGraphics Component 安全漏洞

CNNVD-202209-826

CVE-2022-35837

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35837


61

MicrosoftNetwork Device Enrollment Service (NDES) 安全漏洞

CNNVD-202209-817

CVE-2022-37959

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37959


62

MicrosoftGraphics Component 安全漏洞

CNNVD-202209-809

CVE-2022-38006

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38006


此次更新共包括1个影响微软产品的其他厂商漏洞的补丁程序,其中中危漏洞1个。


序号

漏洞名称

CNNVD编号

CVE编号

危害等级

厂商

官方链接


1

多款Arm产品安全漏洞

CNNVD-202203-696

CVE-2022-23960

中危

Arm

https://vigilance.fr/vulnerability/ARM-Processor-information-disclosure-via-Branch-Predictor-Selectors-37740


.修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

https://msrc.microsoft.com/update-guide/en-us

页: [1]
查看完整版本: 信息安全漏洞周报(2022年第38期)