綠盟科技釋出了本周安全通告,周報編号nsfocus-16-22,本次周報建議大家關注office記憶體破壞漏洞,該漏洞危及大多數offcie版本,将可能導緻攻擊者遠端執行代碼。綠盟科技漏洞庫本周新增52條,其中高危34條。
漏洞描述:microsoft office記憶體破壞漏洞(cve-2016-3313)
nsfocus id:34524
cve id:cve-2016-3313
漏洞點評
在microsoft office 2007 sp3, 2010 sp2, 2013sp1, 2013 rt sp1, 2016,word 2016 mac版和word viewer中攻擊者可以通過惡意構造的檔案達到遠端執行代碼的目的。目前漏洞細節已經披露,可能導緻大範圍的對此漏洞的攻擊利用。強烈建議使用者檢查office是否為最新版本,如果不是請盡快更新。
更新辦法
最近一周cve公告總數與前期相比。值得關注的高危漏洞如下:
unpatched “quadrooter” vulnerabilities put over 900 million android devices at risk
http://www.securityweek.com/unpatched-quadrooter-vulnerabilities-put-over-900-million-android-devices-risk
<a href="http://toutiao.secjia.com/microsoft-golden-key-back-door-exposure">微軟爆出驚天後門“golden key” 可以從根上繞過所有安全機制 這後門為誰保留?</a>
http://www.securityweek.com/secure-boot-vulnerability-exposes-windows-devices-attacks
security firm dangles $500,000 for ios 0-days
http://www.securityweek.com/security-firm-dangles-500000-ios-0-days
<a href="http://toutiao.secjia.com/oracle-pos-russia-hackers-install-malicious-software#">使用者銀行卡險盜刷 oracle的收銀機被俄羅斯黑客安裝惡意軟體</a>
http://www.csoonline.com/article/3105353/cyber-attacks-espionage/hackers-hit-oracles-micros-payment-systems-division.html
截止到2016年8月12日,綠盟科技漏洞庫已收錄總條目達到34544條。本周新增漏洞記錄52條,其中高危漏洞數量34條,中危漏洞數量18條,低危漏洞數量0條。
如下漏洞是本周值得關注的熱點漏洞,請大家及時點選下面的圖檔,查詢綠盟科技安全漏洞公告及其中的修補辦法
openssh auth_password函數拒絕服務漏洞(cve-2016-6515)
cisco rv110w/rv130w/rv215w任意指令執行漏洞(cve-2015-6396)
cisco rv110w/rv130w/rv215w權限提升漏洞(cve-2015-6397)
cisco unified communications manager im and presence service拒絕服務漏
cisco rv180/rv180w任意指令執行漏洞(cve-2016-1430)
cisco rv180/rv180w目錄周遊漏洞(cve-2016-1429)
microsoft internet explorer/edge資訊洩露漏
microsoft internet explorer記憶體破壞漏
microsoft internet explorer本地檔案名資訊洩露漏
microsoft secure boot安全功能繞過漏洞(cve-2016-3320)(ms16-100)
microsoft windows pdf library遠端代碼執行漏
microsoft office記憶體破壞漏洞 (cve-2016-3318)(ms16-099)
microsoft office記憶體破壞漏洞 (cve-2016-3317)(ms16-099)
microsoft office記憶體破壞漏洞 (cve-2016-3316)(ms16-099)
microsoft onenote資訊洩露漏洞 (cve-2016-3315)(ms16-099)
microsoft office記憶體破壞漏洞 (cve-2016-3313)(ms16-099)
microsoft universal outlook資訊洩露漏洞(cve-2016-3312)(ms16-103)
microsoft win32k權限提升漏洞(cve-2016-3311)(ms16-098)
microsoft win32k權限提升漏洞(cve-2016-3310)(ms16-098)
microsoft win32k權限提升漏洞(cve-2016-3308)(ms16-098)
microsoft win32k權限提升漏洞(cve-2016-3309)(ms16-098)
windows graphics遠端代碼執行漏洞(cve-2016-3301)(ms16-097)
windows graphics遠端代碼執行漏洞(cve-2016-3303)(ms16-097)
windows graphics遠端代碼執行漏洞(cve-2016-3304)(ms16-097)
microsoft kerberos 權限提升漏洞(cve-2016-3237)(ms16-101)
microsoft netlogon 權限提升漏洞(cve-2016-3300)(ms16-101)
microsoft edge腳本引擎記憶體破壞漏洞(cve-2016-3296)(ms16-096)
microsoft edge記憶體破壞漏洞(cve-2016-3293)(ms16-096)(ms16-095)
microsoft internet explorer記憶體破壞漏洞(cve-2016-3290)(ms16-095)
microsoft edge記憶體破壞漏洞(cve-2016-3289)(ms16-096)(ms16-095)
microsoft internet explorer記憶體破壞漏洞(cve-2016-3288)(ms16-095)
microsoft windows netbios欺騙漏洞(cve-2016-3299)(ms16-077)
cisco ios拒絕服務漏洞(cve-2016-1478)
siemens sinema server權限提升漏洞(cve-2016-6486)
vmware vcenter server/esxi crlf注入漏洞(cve-2016-5331)
moxa softcms sql注入漏洞(cve-2016-5792)
google chrome blink位址欄欺騙漏洞(cve-2016-5141)
google chrome webcrypto拒絕服務漏洞(cve-2016-5142)
google chrome blink安全限制繞過漏洞(cve-2016-5143)
google chrome blink安全限制繞過漏洞(cve-2016-5144)
google chrome blink同源政策繞過漏洞(cve-2016-5145)
google chrome 拒絕服務漏洞(cve-2016-5146)
google chrome 拒絕服務漏洞(cve-2016-5139)
google chrome opj_j2k_read_sqcd_sqcc函數堆緩沖區溢出漏
cisco prime infrastructure跨架構腳本漏洞(cve-2016-1474)
cisco telepresence video communication server expressway任意指令執行漏
adobe experience manager資訊洩露漏洞(cve-2016-4169)(apsb16-27)
adobe experience manager跨站腳本漏洞(cve-2016-4168)(apsb16-27)
adobe experience manager資訊洩露漏洞(cve-2016-4253)(apsb16-27)
adobe experience manager跨站腳本漏洞(cve-2016-4170)(apsb16-27)
原文釋出時間:2017年3月24日
本文由:綠盟科技 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-2016-22
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站