信息安全漏洞周報（2017年第29期）

根據國家信息安全漏洞庫（CNNVD）統計，本周（2017年7月17日至2017年7月23日）安全漏洞情況如下：

公開漏洞情況

本周CNNVD採集安全漏洞144個，與上周（325個）相比下降了55.69%。

接報漏洞情況

本周接報漏洞761個，其中信息技術產品漏洞（通用型漏洞）8個，網路信息系統漏洞（事件型漏洞）753個。

重要漏洞預警

2017年3月14日，VMware官方發布了關於VMware Workstation安全漏洞（CNNVD-201703-678）的補丁，本周，關於該漏洞的利用工具開始在互聯網上大規模流傳，攻擊者可以利用工具控制受影響虛擬機，甚至感染到虛擬機歸屬的宿主機，造成嚴重影響。VMware WorkStation 12.5.5之前的版本都會受到影響。CNNVD建議部署使用VMware相關產品的單位及時檢查是否受影響，若受影響，及時更新到最新版本。

公開漏洞情況

根據國家信息安全漏洞庫（CNNVD）統計，本周新增安全漏洞144個，漏洞新增數量有所下降。從廠商分佈來看，其中Apple公司新增漏洞最多，共有23個；從漏洞類型來看，跨站腳本類的安全漏洞佔比最大，達到11.81%。本周新增漏洞中，超危漏洞10個，高危漏洞19個，中危漏洞115個。相應修復率分別為80.00%、100.00%以及93.91%。根據補丁信息統計，合計135個漏洞已有修復補丁發布，整體修復率為93.75%

截至2017年7月23日，CNNVD發布漏洞總量已達97609個。

（一） 安全漏洞增長數量情況

本周新增安全漏洞144個，與上周（325個）相比下降了55.69%。圖1為近五周漏洞新增數量統計圖。

（二） 安全漏洞分佈情況

從廠商分佈來看，本周Apple公司產品的漏洞數量最多，共23個。各廠商漏洞數量分佈如表1所示。

本周國內廠商漏洞共5個，其中華為公司漏洞數量最多，共3個。國內廠商漏洞已全部修復，請受影響用戶關注廠商修復情況，及時下載補丁修復漏洞。

從漏洞類型來看，本周跨站腳本類的安全漏洞相對佔比最大，達到11.81%。漏洞類型統計如表2所示。

（三）安全漏洞危害等級與修復情況

本周共發布超危漏洞10個，高危漏洞19個，中危漏洞115個。相應修復率分別為80.00%、100.00%以及93.91%。合計135個漏洞已有修復補丁發布，整體修復率為93.75%。詳細情況如表3所示。

（四）本周重要漏洞實例

本周超危漏洞10個，高危漏洞19個，其中重要漏洞實例如表4所示。

1. ImageMagick資源管理錯誤漏洞(CNNVD-201707-907)

ImageMagick是美國ImageMagick Studio公司的一套開源的圖象處理軟體。該軟體可讀取、轉換、寫入多種格式的圖片。

ImageMagick 7.0.6-1版本中的coders\pes.c文件的『ReadPESImage』函數存在無限循環漏洞。攻擊者可藉助特製的PES文件利用該漏洞造成CPU耗盡。

解決措施：目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

2. Microsoft Windows Edge和Internet Explorer JavaScript引擎緩衝區錯誤漏洞(CNNVD-201707-474)

Microsoft Windows是美國微軟（Microsoft）公司發布的一系列操作系統。Microsoft Edge和Internet Explorer（IE）都是Windows系統附帶的Web瀏覽器。前者是最新操作系統Windows 10附帶的默認瀏覽器，後者是Windows 10之前操作系統附帶的默認瀏覽器。JavaScript engine是其中的一個JavaScript引擎組件。

Microsoft Windows中的Edge和IE 9、10和11版本的JavaScript引擎存在遠程代碼執行漏洞。遠程攻擊者可利用該漏洞在當前用戶的上下文中執行任意代碼，損壞內存。以下版本受到影響：

- Windows Server 2012

- Windows 8.1

- Windows RT 8.1

- Windows Server 2016

- Windows Server 2012 R2

- Windows Server 2008 SP2

- Windows Server 2016

- Windows 10

- Windows 10版本1607

- Windows 10版本1703

- Windows 10版本1511

解決措施：目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

3. Huawei SMC2.0 輸入驗證漏洞(CNNVD-201707-653)

Huawei SMC2.0是華為（Huawei）公司的一套視訊管理解決方案。該解決方案同時支持H.323和SIP兩種主流協議，支持計算機和手機等設備接入。

Huawei SMC2.0中存在輸入驗證漏洞，該漏洞源於程序沒有充分的驗證接收到的PKI證書。遠程攻擊者可利用該漏洞造成TLS模塊拒絕服務。以下版本受到影響：

- Huawei SMC2.0 V100R003C10版本

- Huawei V100R005C00SPC100版本

- Huawei V100R005C00SPC101B001T版本

- Huawei V100R005C00SPC102版本

- Huawei V100R005C00SPC103版本

- Huawei V100R005C00SPC200版本

- Huawei V100R005C00SPC201T版本

- Huawei V500R002C00版本

- Huawei V600R006C00版本

Lenovo IdeaPadMiix 510-12ISK等都是聯想（Lenovo）公司的筆記本電腦產品。Sierra Wireless WAN driver是其中的一個加拿大Sierra Wireless公司的無線驅動程序。

基於Windows 7、8和10平台的多款Lenovo產品中的Sierra Wireless WAN驅動程序存在本地提權漏洞。本地攻擊者可藉助未引用的服務路徑利用該漏洞以管理員許可權執行文件。以下產品受到影響：

- Lenovo IdeaPad Miix 510-12ISK

- Lenovo IdeaPad Miix 510-12IKB

- Lenovo ThinkPad L450

- Lenovo ThinkPad L460 Larue-2

- Lenovo ThinkPad L560

- Lenovo ThinkPad P40

- Lenovo ThinkPad P50

- Lenovo ThinkPad P50s

- Lenovo ThinkPad P51s KBL

- Lenovo ThinkPad P51s SKL等

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：