11月29日,國家資訊安全漏洞共享平台(CNVD)釋出報告稱,本周共收集、整理資訊安全漏洞536個,其中高危漏洞193個、中危漏洞261個、低危漏洞82個。其中,“Huawei EMUI(華為手機作業系統)和Magic UI資訊洩露漏洞(CNVD-2022-81251)、Elcomplus SmartPPT檔案上傳漏洞”等漏洞的綜合評級為“高危”。 目前,相關廠商已經釋出了漏洞的修補程式。
本周CNVD接到的涉及黨政機關和企事業機關的事件型漏洞總數39112個,與上周(17037個)環比增加1.3倍。這些漏洞涉及Jenkins、Google、Adobe等多家廠商的産品。
本周,CNVD向銀行、保險、能源等重要行業機關通報漏洞事件41起,向基礎電信企業通報漏洞事件26起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件1097起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件210起,向國家上級資訊安全協調機構上報涉及部委門戶、子站或直屬機關資訊系統漏洞事件174起。
此外,CNVD通過已建立的聯系機制或涉事機關公開聯系管道向以下機關通報了其資訊系統或軟硬體産品存在的漏洞,其中包括:北京小米科技有限責任公司、新浪網技術(中國)有限公司、攜程旅行網、北京星網銳捷網絡技術有限公司、阿裡巴巴集團安全應急響應中心等。
而報送這些漏洞的公司,則包括奇安信網神(補天平台)、鬥象科技(漏洞盒子)和上海交大等平台,他們向CNVD共享的白帽子報送了35342條原創漏洞資訊。
從類型來看,本周,CNVD收錄了536個漏洞。WEB應用255個,應用程式181個,網絡裝置(交換機、路由器等網絡端裝置)55個,智能裝置(物聯網終端裝置)19個,作業系統19個,安全産品5個,資料庫2個。
CNVD整理和釋出的漏洞涉及Jenkins、Google、Adobe、三星、新華三、華為等多家廠商的産品。其中,Adobe Dimension是美國Adobe公司的一套2D和3D合成設計工具。Adobe InDesign是一套排版編輯應用程式。本周,上述産品被披露存在多個漏洞,攻擊者可利用漏洞執行任意代碼。
本周,CNVD收錄了收錄了36個電信行業漏洞,30個移動網際網路行業漏洞,11個工控行業漏洞。其中,“Huawei EMUI和Magic UI資訊洩露漏洞(CNVD-2022-81251)、Elcomplus SmartPPT檔案上傳漏洞”等漏洞的綜合評級為“高危”。 目前,相關廠商已經釋出了漏洞的修補程式。
文/北京青年報記者 溫婧
編輯/田野