信息安全漏洞周报(2022年第38期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2022年9月12日至2022年9月18日)安全漏洞情况如下:公开漏洞情况
本周CNNVD采集安全漏洞639个。
接报漏洞情况
本周CNNVD接报漏洞5168个,其中信息技术产品漏洞(通用型漏洞)152个,网络信息系统漏洞(事件型漏洞)138个,漏洞平台推送漏洞4878个。
重大漏洞通报
微软多个安全漏洞:包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721),成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞639个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有68个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到11.74%。新增漏洞中,超危漏洞61个,高危漏洞267个,中危漏洞300个,低危漏洞11个。相应修复率分别为67.21%、68.54%、78.33%和81.82%。根据补丁信息统计,合计468个漏洞已有修复补丁发布,整体修复率为73.24%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞639个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,谷歌公司新增漏洞最多,有68个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
谷歌
68
10.64%
2
微软
62
9.70%
3
Adobe
51
7.98%
4
西门子
23
3.60%
5
WordPress基金会
19
2.97%
本周国内厂商漏洞33个,吉翁电子漏洞数量最多,有7个。国内厂商漏洞整体修复率为45.10%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到11.74%。漏洞类型统计如表3所示。
表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
缓冲区错误
75
11.74%
2
跨站脚本
55
8.61%
3
SQL注入
35
5.48%
4
代码问题
28
4.38%
5
资源管理错误
20
3.13%
6
输入验证错误
18
2.82%
7
信息泄露
10
1.56%
8
授权问题
8
1.25%
9
命令注入
7
1.10%
10
跨站请求伪造
6
0.94%
11
路径遍历
6
0.94%
12
信任管理问题
5
0.78%
13
操作系统命令注入
3
0.47%
14
权限许可和访问控制问题
2
0.31%
15
访问控制错误
2
0.31%
16
代码注入
2
0.31%
17
竞争条件问题
2
0.31%
18
数据伪造问题
2
0.31%
19
注入
2
0.31%
20
加密问题
1
0.16%
21
后置链接
1
0.16%
22
数字错误
1
0.16%
23
日志信息泄露
1
0.16%
24
其他
347
54.30%
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞61个,高危漏洞267个,中危漏洞300个,低危漏洞11个。相应修复率分别为67.21%、68.54%、78.33%和81.82%。根据补丁信息统计,合计468个漏洞已有修复补丁发布,整体修复率为73.24%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
61
41
67.21%
2
高危
267
183
68.54%
3
中危
300
235
78.33%
4
低危
11
9
81.82%
合计
639
468
73.24%
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号
漏洞
漏洞编号
厂商
漏洞实例
是否修复
危害等级
类型
1
其他
CNNVD-202209-911
微软
Microsoft Windows 安全漏洞
是
超危
2
其他
CNNVD-202209-777
苹果
Apple macOS Safari 安全漏洞
是
高危
3
其他
CNNVD-202209-1403
谷歌
Google Chrome 安全漏洞
是
高危
1.Microsoft Windows 安全漏洞(CNNVD-202209-911)
Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。
Microsoft WindowsIKE Extension存在安全漏洞。以下产品和版本受到影响:Windows 10 Version1607 for x64-based Systems,Windows Server 2016、WindowsServer 2016 (Server Core installation)、Windows 7 for32-bit Systems Service Pack 1、Windows 7 for x64-basedSystems Service Pack 1、Windows 8.1 for 32-bit systems、Windows 8.1 for x64-based systems、Windows RT 8.1、Windows Server 2008 for 32-bit Systems Service Pack 2等。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34722
2.Apple macOS Safari 安全漏洞(CNNVD-202209-777)
Apple Safari等都是美国苹果(Apple)公司的产品。Apple Safari是一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。ApplemacOS Big Sur是苹果公司用于MAC操作系统macOS的第17个主要版本。Apple macOS Monterey是用于麦金塔桌面操作系统macOS的第18个主要版本。
Apple macOS Big Sur和ApplemacOS Monterey的Safari 16之前版本存在安全漏洞,该漏洞源于在处理恶意制作的网页内容时可能会导致任意代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.apple.com/en-us/HT213442
3.Google Chrome 安全漏洞(CNNVD-202209-1403)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 104版本及之前版本存在安全漏洞,该漏洞源于存在内存释放后重用情况。攻击者利用该漏洞恶意构建网页内容,导致在浏览器进程中执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblo ... for-desktop_16.html
二、漏洞平台推送情况
本周漏洞平台推送漏洞4878个。
序号
漏洞平台
漏洞总量
1
漏洞盒子
3163
2
360漏洞云
1621
3
补天平台
94
推送总计
4878
三、接报漏洞情况
本周CNNVD接报漏洞290个,其中信息技术产品漏洞(通用型漏洞)152个,网络信息系统漏洞(事件型漏洞)138个。
序号
报送单位
漏洞总量
1
广东默究科技有限公司
93
2
西安四叶草信息技术有限公司
79
3
北京华云安信息技术有限公司
47
4
科来网络技术股份有限公司
15
5
奇安信网神信息技术(北京)股份有限公司
14
6
北京北京长亭科技有限公司有限公司
10
7
北京启明星辰信息安全技术有限公司
4
8
广州竞远安全技术股份有限公司
4
9
河南悦海数安科技有限公司
4
10
内蒙古思沃科技有限公司
3
11
上海上讯信息技术股份有限公司
3
12
北京京东尚科信息技术有限公司
2
13
杭州迪普科技有限公司
2
14
北京天融信网络安全技术有限公司
1
15
福建银数信息技术有限公司
1
16
广州易东信息安全技术有限公司
1
17
浪潮电子信息产业股份有限公司
1
18
绿盟科技集团股份有限公司
1
19
山东云天安全技术有限公司
1
20
上海斗象信息科技有限公司
1
21
上海谋乐网络科技有限公司
1
22
新华三技术有限公司
1
23
中兴通讯
1
报送总计
290
四、接报漏洞通报情况
本周CNNVD接报漏洞通报95份。
序号
报送单位
通报总量
1
杭州迪普科技股份有限公司
30
2
深信服科技股份有限公司
14
3
浙江大华技术股份有限公司
12
4
北京华顺信安科技有限公司
4
5
道普信息技术有限公司
4
6
北京神州绿盟科技有限公司
3
7
北京永信至诚科技股份有限公司
3
8
河南悦海数安科技有限公司
3
9
上海斗象信息科技有限公司
3
10
长春嘉诚信息技术股份有限公司
3
11
福建银数信息技术有限公司
2
12
北京数字观星科技有限公司
2
13
奇安信网神信息技术(北京)股份有限公司
2
14
北京安天网络安全技术有限公司
1
15
北京华云安信息技术有限公司
1
16
北京天融信网络安全技术有限公司
1
17
北京知道创宇信息技术股份有限公司
1
18
杭州安恒信息技术股份有限公司
1
19
南京铱迅信息技术股份有限公司
1
20
上海安识网络科技有公司
1
21
腾讯公司
1
22
新华三技术有限公司
1
23
远江盛邦(北京)网络安全科技股份有限公司
1
报送总计
95
五、重大漏洞通报
CNNVD关于微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞62个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows TCP/IP component 安全漏洞(CNNVD-202209-917、CVE-2022-34718)、Microsoft Windows 安全漏洞(CNNVD-202209-913、CVE-2022-34721)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
.漏洞介绍
2022年9月13日,微软发布了2022年9月份安全更新,共63个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft HTTP.sys、Microsoft LightweightDirectory Access Protocol、Microsoft Windows DNS、Microsoft Windows Fax Service、MicrosoftSharePoint等。CNNVD对其危害等级进行了评价,其中超危漏洞3个,高危漏洞52个,中危漏洞8个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。
.危害影响
此次更新共包括62个新增漏洞的补丁程序,其中超危漏洞3个,高危漏洞52个,中危漏洞7个。
序号
漏洞名称
CNNVD编号
CVE编号
危害等级
官方链接
1
MicrosoftWindows TCP/IP component 安全漏洞
CNNVD-202209-917
CVE-2022-34718
超危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34718
2
MicrosoftWindows 安全漏洞
CNNVD-202209-913
CVE-2022-34721
超危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34721
3
MicrosoftWindows 安全漏洞
CNNVD-202209-911
CVE-2022-34722
超危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34722
4
MicrosoftWindows 安全漏洞
CNNVD-202209-922
CVE-2022-26928
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26928
5
Microsoft.NET Framework 安全漏洞
CNNVD-202209-908
CVE-2022-26929
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26929
6
MicrosoftWindows 安全漏洞
CNNVD-202209-924
CVE-2022-30170
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30170
7
MicrosoftWindows 安全漏洞
CNNVD-202209-927
CVE-2022-30196
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30196
8
MicrosoftLightweight Directory Access Protocol 安全漏洞
CNNVD-202209-925
CVE-2022-30200
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30200
9
MicrosoftWindows Kerberos 安全漏洞
CNNVD-202209-923
CVE-2022-33647
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33647
10
MicrosoftWindows Kerberos 安全漏洞
CNNVD-202209-921
CVE-2022-33679
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33679
11
MicrosoftDynamics 安全漏洞
CNNVD-202209-918
CVE-2022-34700
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34700
12
MicrosoftWindows 安全漏洞
CNNVD-202209-916
CVE-2022-34719
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34719
13
MicrosoftWindows 安全漏洞
CNNVD-202209-915
CVE-2022-34720
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34720
14
MicrosoftWindows DNS 安全漏洞
CNNVD-202209-907
CVE-2022-34724
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34724
15
MicrosoftWindows ALPC 安全漏洞
CNNVD-202209-905
CVE-2022-34725
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34725
16
MicrosoftWindows 安全漏洞
CNNVD-202209-901
CVE-2022-34726
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34726
17
MicrosoftWindows 安全漏洞
CNNVD-202209-893
CVE-2022-34727
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34727
18
MicrosoftGraphics Component 安全漏洞
CNNVD-202209-880
CVE-2022-34729
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34729
19
MicrosoftWindows ODBC Driver 安全漏洞
CNNVD-202209-871
CVE-2022-34730
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34730
20
MicrosoftWindows OLE 安全漏洞
CNNVD-202209-862
CVE-2022-34731
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34731
21
MicrosoftWindows 安全漏洞
CNNVD-202209-850
CVE-2022-34732
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34732
22
MicrosoftWindows 安全漏洞
CNNVD-202209-841
CVE-2022-34733
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34733
23
MicrosoftWindows ODBC Driver 安全漏洞
CNNVD-202209-837
CVE-2022-34734
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34734
24
MicrosoftWindows Common Log File System Driver 安全漏洞
CNNVD-202209-836
CVE-2022-35803
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35803
25
MicrosoftDynamics 安全漏洞
CNNVD-202209-912
CVE-2022-35805
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35805
26
MicrosoftSharePoint 安全漏洞
CNNVD-202209-808
CVE-2022-35823
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35823
27
MicrosoftDefender 安全漏洞
CNNVD-202209-910
CVE-2022-35828
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35828
28
MicrosoftWindows Remote Procedure Call Runtime 安全漏洞
CNNVD-202209-834
CVE-2022-35830
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35830
29
MicrosoftWindows 安全漏洞
CNNVD-202209-830
CVE-2022-35833
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35833
30
MicrosoftWindows 安全漏洞
CNNVD-202209-829
CVE-2022-35834
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35834
31
MicrosoftWindows 安全漏洞
CNNVD-202209-828
CVE-2022-35835
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35835
32
MicrosoftWindows 安全漏洞
CNNVD-202209-827
CVE-2022-35836
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35836
33
MicrosoftHTTP.sys 安全漏洞
CNNVD-202209-825
CVE-2022-35838
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35838
34
MicrosoftWindows 安全漏洞
CNNVD-202209-824
CVE-2022-35840
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35840
35
MicrosoftWindows 安全漏洞
CNNVD-202209-823
CVE-2022-35841
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35841
36
MicrosoftGraphics Component 安全漏洞
CNNVD-202209-822
CVE-2022-37954
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37954
37
MicrosoftWindows 安全漏洞
CNNVD-202209-821
CVE-2022-37955
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37955
38
MicrosoftWindows Kernel 安全漏洞
CNNVD-202209-820
CVE-2022-37956
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37956
39
MicrosoftWindows Kernel 安全漏洞
CNNVD-202209-819
CVE-2022-37957
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37957
40
MicrosoftWindows 安全漏洞
CNNVD-202209-818
CVE-2022-37958
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37958
41
MicrosoftSharePoint 安全漏洞
CNNVD-202209-806
CVE-2022-37961
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37961
42
MicrosoftOffice 安全漏洞
CNNVD-202209-805
CVE-2022-37962
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37962
43
MicrosoftOffice Visio 安全漏洞
CNNVD-202209-803
CVE-2022-37963
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37963
44
MicrosoftWindows Kernel 安全漏洞
CNNVD-202209-816
CVE-2022-37964
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37964
45
MicrosoftWindows Common Log File System Driver 安全漏洞
CNNVD-202209-812
CVE-2022-37969
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37969
46
MicrosoftWindows Fax Service 安全漏洞
CNNVD-202209-814
CVE-2022-38004
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38004
47
MicrosoftWindows Print Spooler Components 安全漏洞
CNNVD-202209-815
CVE-2022-38005
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38005
48
MicrosoftAzure 安全漏洞
CNNVD-202209-906
CVE-2022-38007
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38007
49
MicrosoftSharePoint 安全漏洞
CNNVD-202209-807
CVE-2022-38008
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38008
50
MicrosoftSharePoint 安全漏洞
CNNVD-202209-810
CVE-2022-38009
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38009
51
MicrosoftOffice Visio 安全漏洞
CNNVD-202209-800
CVE-2022-38010
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38010
52
MicrosoftWindows Codecs Library 安全漏洞
CNNVD-202209-904
CVE-2022-38011
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38011
53
Microsoft.NET Core和Microsoft Visual Studio 安全漏洞
CNNVD-202209-835
CVE-2022-38013
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38013
54
MicrosoftWindows Codecs Library 安全漏洞
CNNVD-202209-903
CVE-2022-38019
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38019
55
MicrosoftVisual Studio Code 安全漏洞
CNNVD-202209-902
CVE-2022-38020
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38020
56
MicrosoftWindows 安全漏洞
CNNVD-202209-909
CVE-2022-34723
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34723
57
MicrosoftWindows 安全漏洞
CNNVD-202209-888
CVE-2022-34728
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34728
58
MicrosoftWindows Remote Access Connection Manager 安全漏洞
CNNVD-202209-832
CVE-2022-35831
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35831
59
MicrosoftWindows Event Tracing 安全漏洞
CNNVD-202209-831
CVE-2022-35832
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35832
60
MicrosoftGraphics Component 安全漏洞
CNNVD-202209-826
CVE-2022-35837
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35837
61
MicrosoftNetwork Device Enrollment Service (NDES) 安全漏洞
CNNVD-202209-817
CVE-2022-37959
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37959
62
MicrosoftGraphics Component 安全漏洞
CNNVD-202209-809
CVE-2022-38006
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38006
此次更新共包括1个影响微软产品的其他厂商漏洞的补丁程序,其中中危漏洞1个。
序号
漏洞名称
CNNVD编号
CVE编号
危害等级
厂商
官方链接
1
多款Arm产品安全漏洞
CNNVD-202203-696
CVE-2022-23960
中危
Arm
https://vigilance.fr/vulnerability/ARM-Processor-information-disclosure-via-Branch-Predictor-Selectors-37740
.修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
页:
[1]