2018年12月15日 星期六    农历 戊戌年(狗) 冬月初九 | 旧版本

2018年3月重要安全漏洞信息汇总

发布时间:2018-04-13 16:40:03   来源:天津互联网应急中心   浏览量:5070

2018年3月重要安全漏洞信息汇总

 

一、 Microsoft产品

Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Edge是其中的一个系统附带的浏览器。Chakra Core是使用在Edge的一个开源的JavaScript引擎的核心部分。Windows kernel是其中的一个操作系统内核。Microsoft Office是一款办公软件套件产品。Microsoft Access是一套关系数据库管理系统。Microsoft Outlook是一套Office套件中的电子邮件客户端软件。Office Click-to-Run(C2R)是一套办公软件套件产品。Windows Shell是一个Windows系统下与用户交互的界面。Structured Query是一个结构化查询组件。本月,上述产品被披露存在内存破坏漏洞,攻击者可利用漏洞执行任意代码。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

二、 Google产品

Google Chrome for Mac、Windows和Linux是美国谷歌(Google)公司开发的一款基于Mac、Windows和Linux平台的Web浏览器。Qualcomm WLANdriver是其中的一个高通(Qualcomm)公司开发的无线驱动程序。Qualcomm Graphics_Linux是一个基于Linux系统的图形组件。Libmediadrm是其中的一个DRM数字版权管理库。

Android on Google Pixel和Nexus是一套运行于Google Pixel和Nexus中并以Linux为基础的开源操作系统。Mediaframework是其中的一个多媒体开发框架。Qualcomm Wma是其中的一个高通公司的Wma(数字音频压缩格式)组件,Qualcomm WLAN是无线局域网组件。本月,上述产品被披露存在安全绕过和权限提升漏洞,攻击者可利用漏洞绕过安全限制、泄露敏感信息、提升权限或执行任意代码。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

三、 IBM产品

IBM Client Application Access和IBM Notes都是美国IBM公司的产品。IBM Client Application Access是一套用来访问本地应用程序的工具。IBM Notes是一套协同办公软件。IBM Runtimes for Java Technology是一套运行Java程序的运行时环境。IBM WebSphereMQ是的一款消息传递中间件产品。本月,上述产品被披露存在信息泄露和权限提升漏洞,攻击者可利用漏洞泄露敏感信息或提升权限。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

四、 Apache产品

Apache Geode是美国阿帕奇(Apache)软件基金会的一套应用于分布式云架构中提供对数据密集型应用程序实时和一致访问数据的管理平台。Apache Thrift是一套远程调用框架。Apache Ranger是一套为Hadoop集群实现全面安全措施的架构。Tomcat是Jakarta项目开发的一个Servlet容器。本月,上述产品被披露存在安全绕过和代码执行漏洞,攻击者可利用漏洞绕过安全限制或执行任意代码。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

五、 Adobe产品

Acrobat DCContinuous Track等都是美国奥多比(Adobe)公司的产品。Acrobat DCContinuous Track是一款桌面版PDF解决方案的连续更新版本。Reader DCContinuous Track是一款PDF阅读工具的连续更新版本。本月,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

六、 Linux产品

Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。本月,该产品被披露存在多个漏洞,攻击者可利用漏洞提升权限、读取任意文件或发起拒绝服务攻击等。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

七、 其他重要漏洞

Joomla! 漏洞。Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS)。本月,该产品被披露存在SQL注入、任意文件上传或跨站脚本漏洞,攻击者可利用漏上传任意文件或发起跨站脚本攻击。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

Schneider视频监控设备漏洞。Schneider Electric PelcoSarix Professional是法国施耐德(Schneider)电气公司的一款视频监控设备。本月,该产品被披露存在多个漏洞,攻击者可利用漏洞执行任意命令、提升权限或下载任意文件等。

目前,厂商已经发布了上述漏洞的修补程序。建议用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

D-Link网络摄像机漏洞。D-Link DCS-933L和DCS-934L都是友讯(D-Link)公司的网络摄像机产品。本月,D-Link被披露存在权限获取漏洞,攻击者可利用该漏洞获取凭证并控制摄像机。

目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序,建议用户随时关注厂商主页,以获取最新版本。