做好疫情防控，打造网络安全|市委网信办网络安全漏洞提醒

近期，国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD）发布网络安全漏洞，请广大网民注意更新系统软件，做好日常防范。

一.微软漏洞

共收集、整理信息安全漏洞221个，其中高危漏洞51个、中危漏洞145个、低危漏洞25个。漏洞平均分值为5.34。涉及0day漏洞56个（占25%），其中互联网上出现“WordPress Import Legacy Media跨站脚本漏洞、WordPress Movies跨站脚本漏洞”等零日代码攻击漏洞。涉及党政机关和企事业单位的事件型漏洞总数933个，与上周（2126个）环比减少56%。

二、Huawei产品安全漏洞

Huawei Honor V10是一款智能手机产品。Mate 10 Pro是一款智能手机。Huawei Mate 20 Pro是一款智能手机。Huawei AR1200是一款企业路由器。Huawei S12700是一款企业级交换机产品。Huawei P30是一款智能手机。Huawei P30 Pro是一款智能手机。Huawei M6是一款平板电脑。Huawei Gauss100 OLTP是一款华为的数据库系统。Huawei Honor V30是一款智能手机。上述产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权的操作，获取敏感信息，导致拒绝服务等。

重点有：多款Huawei产品拒绝服务漏洞（CNVD-2020-02948）、Huawei Mate 20 Pro授权问题漏洞、多款Huawei产品信息泄露漏洞（CNVD-2020-02963）、多款Huawei产品加密问题漏洞、多款Huawei产品数据伪造问题漏洞、多款Huawei产品路径遍历漏洞、Huawei Gauss100 OLTP数据库缓冲区溢出漏洞、Huawei Honor V30授权问题漏洞。其中，“多款Huawei产品拒绝服务漏洞（CNVD-2020-02948）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02948

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02962

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02963

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02964

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02965

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02966

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02967

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02968

三、Apple产品安全漏洞

AppleiOS是一套为移动设备所开发的操作系统。Apple tvOS是一套智能电视操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple macOS Mojave是一套专为Mac计算机所开发的专用操作系统。Apple Shortcuts for iOS是一套基于iOS平台的快捷应用。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过沙盒限制，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：多款Apple产品TrueTypeScaler组件越界读取漏洞、Apple iOS IOKit内存破坏漏洞、Apple iOS和Apple macOS Mojave IOKitSCSI组件内存破坏漏洞、Apple macOS Mojave AMD组件内存破坏漏洞、多款Apple产品MobileLockdown组件权限提升漏洞、Apple Shortcuts for iOS沙盒限制绕过漏洞、多款Apple产品Audio组件缓冲区溢出漏洞、Apple macOS Mojave IntelGraphics Driver组件任意代码执行漏洞（CNVD-2020-03212）。其中，除“多款Apple产品TrueTypeScaler组件越界读取漏洞、多款Apple产品Audio组件缓冲区溢出漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03001

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03004

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03003

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03008

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03009

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03006

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03034

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03212

四、GitLab产品安全漏洞

GitLab是一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取未授权的访问权限，造成拒绝服务等。

CNVD收录的相关漏洞包括：GitLab代码问题漏洞（CNVD-2020-03032）、GitLab资源管理错误漏洞（CNVD-2020-03053）、GitLab访问控制错误漏洞（CNVD-2020-03058）、GitLab CE/EE信息泄露漏洞（CNVD-2020-03114）、GitLab CE/EE跨站脚本漏洞（CNVD-2020-03115）、GitLab访问控制错误漏洞（CNVD-2020-03229）、GitLab未授权访问漏洞（CNVD-2020-03230）、GitLab拒绝服务漏洞（CNVD-2020-03231）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03032

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03053

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03058

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03114

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03115

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03229

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03230

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03231

五、Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过内容安全策略限制，提升权限，执行任意代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：Mozilla Firefox内存破坏漏洞（CNVD-2020-02973）、Mozilla Firefox安全绕过漏洞（CNVD-2020-02975）、Mozilla Firefox代码执行漏洞（CNVD-2020-02976）、多款Mozilla产品权限提升漏洞、Mozilla Firefox拒绝服务漏洞（CNVD-2020-03210）、Mozilla Firefox输入验证错误漏洞（CNVD-2020-03243）、多款Mozilla产品缓冲区溢出漏洞（CNVD-2020-03240）、多款Mozilla产品内存破坏漏洞（CNVD-2020-03241）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02973

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02975

http://www.cnvd.org.cn/flaw/show/CNVD-2020-02976

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03209

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03210

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03243

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03240

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03241

六、Sony Catalyst Production Suite和Catalyst Browse权限提升漏洞

Sony catalyst production suite是由索尼推出的一款视频编辑处理套件，该套件其实是包含了atalyst Edit和CatalystPrepare两个组件。Sony Catalyst Browse是一个媒体管理软件。本周，Sony Catalyst Production Suite 2019.1 (1.1.0.21)及之前版本和Catalyst Browse 2019.1 (1.1.0.21)及之前版本被披露存在限提升漏洞。攻击者可利用该漏洞获取管理员权限并以该权限运行程序。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2020-03065

更多高危漏洞如表4所示，详细信息可根据CNVD编号，在CNVD官网进行查询。参考链接：

http://www.cnvd.org.cn/flaw/list.htm

来源：国家互联网应急中心

制作：中共平凉市委网信办

原标题：《做好疫情防控，打造网络安全|市委网信办网络安全漏洞提醒》