綠盟科技發(fā)布了本周安全通告，周報(bào)編號(hào)NSFOCUS-17-02，綠盟科技漏洞庫(kù)本周新增40條，其中高危25條。本次周報(bào)建議大家關(guān)注?Microsoft Edge遠(yuǎn)程權(quán)限提升漏洞?，目前，微軟公司已經(jīng)發(fā)布了修復(fù)補(bǔ)丁程序。用戶可通過(guò)Windows Update自動(dòng)更新功能更新存在漏洞的舊版本程序，也可以到微軟官網(wǎng)下載更新補(bǔ)丁升級(jí)。

焦點(diǎn)漏洞

Microsoft Edge遠(yuǎn)程權(quán)限提升漏洞

• NSFOCUS ID ?35738
• CVE ID ?CVE-2017-0002

受影響版本

• Microsoft Edge

漏洞點(diǎn)評(píng)

Microsoft Edge是微軟公司推出的新一代瀏覽器。當(dāng) Microsoft Edge 使用 about:blank 不正確地強(qiáng)制實(shí)施跨域策略時(shí)會(huì)存在特權(quán)提升漏洞，可能允許攻擊者訪問(wèn)某個(gè)域中信息并將其插入其他域。成功利用此漏洞的攻擊者可以在受影響的 Microsoft Edge 版本中提升特權(quán)。微軟公司已經(jīng)發(fā)布了修復(fù)補(bǔ)丁程序。用戶可通過(guò)Windows Update自動(dòng)更新功能更新存在漏洞的舊版本程序，也可以到微軟官網(wǎng)下載更新補(bǔ)丁升級(jí)。

（數(shù)據(jù)來(lái)源：綠盟科技安全研究部&產(chǎn)品規(guī)則組）

互聯(lián)網(wǎng)安全態(tài)勢(shì)

CVE統(tǒng)計(jì)

最近一周CVE公告總數(shù)與前期相比。值得關(guān)注的高危漏洞如下：

威脅熱點(diǎn)信息回顧

• 影子經(jīng)紀(jì)人要收手了？
  • 據(jù)影子經(jīng)紀(jì)人在其Twitter賬號(hào)上 @shadowbrokerss 發(fā)布了一則最新消息“theshadowbrokers closed, Going dark” ，這是要收手了？
  • http://toutiao.secjia.com/theshadowbrokers-closed-going-dark
• 《超級(jí)馬里奧跑酷》安卓山寨版有毒！黑客利用檔期真空傳播Marcher銀行木馬
  • 2016年12月15日，《超級(jí)馬里奧跑酷》上架了。但是，Zscaler公司的安全研究員警告說(shuō)，安卓系統(tǒng)上的山寨版《超級(jí)馬里奧跑酷》帶有惡意軟件手機(jī)銀行木馬Marcher。
  • http://toutiao.secjia.com/super-mario-run-android-installs-marcher-banking-trojan

（數(shù)據(jù)來(lái)源：綠盟科技 威脅情報(bào)與網(wǎng)絡(luò)安全實(shí)驗(yàn)室 收集整理）

綠盟科技漏洞研究

綠盟科技漏洞庫(kù)新增40條

截止到2017年1月13日，綠盟科技漏洞庫(kù)已收錄總條目達(dá)到35768條。本周新增漏洞記錄40條，其中高危漏洞數(shù)量25條，中危漏洞數(shù)量14條，低危漏洞數(shù)量1條。

• Pidgin 目錄遍歷漏洞(CVE-2016-4323)
  • 危險(xiǎn)等級(jí):中
  • cve編號(hào):CVE-2016-4323
• Kaspersky Internet Security KLIF驅(qū)動(dòng)程序拒絕服務(wù)漏洞(CVE-2016-4305)
  • 危險(xiǎn)等級(jí):中
  • cve編號(hào):CVE-2016-4305
• Kaspersky Internet Security KLDISK驅(qū)動(dòng)程序信息泄露漏洞(CVE-2016-4306)
  • 危險(xiǎn)等級(jí):中
  • cve編號(hào):CVE-2016-4306
• Kaspersky Internet Security KL1驅(qū)動(dòng)程序拒絕服務(wù)漏洞(CVE-2016-4307)
  • 危險(xiǎn)等級(jí):中
  • cve編號(hào):CVE-2016-4307
• Kaspersky Internet Security KLIF驅(qū)動(dòng)程序拒絕服務(wù)漏洞(CVE-2016-4304)
  • 危險(xiǎn)等級(jí):中
  • cve編號(hào):CVE-2016-4304
• LibTIFF 堆緩沖區(qū)溢出漏洞(CVE-2016-5652)
  • 危險(xiǎn)等級(jí):高
  • BID:93902
  • cve編號(hào):CVE-2016-5652
• Foxit Reader本地信息泄露漏洞(CVE-2016-8334)
  • 危險(xiǎn)等級(jí):高
  • BID:93799
  • cve編號(hào):CVE-2016-8334
• IBM Security Identity Manager 本地信息泄露漏洞(CVE-2016-9739)
  • 危險(xiǎn)等級(jí):中
  • BID:95326
  • cve編號(hào):CVE-2016-9739
• IBM Security Identity Manager Virtual Appliance本地信息泄露漏
  • 危險(xiǎn)等級(jí):中
  • BID:95327
  • cve編號(hào):CVE-2016-9703
• Adobe Flash Player 釋放后重利用遠(yuǎn)程代碼執(zhí)行漏
  • 危險(xiǎn)等級(jí):高
  • BID:95342
  • cve編號(hào):CVE-2017-2932
• Adobe Flash Player 釋放后重利用遠(yuǎn)程代碼執(zhí)行漏
  • 危險(xiǎn)等級(jí):高
  • BID:95342
  • cve編號(hào):CVE-2017-2937
• Adobe Flash Player 釋放后重利用遠(yuǎn)程代碼執(zhí)行漏
  • 危險(xiǎn)等級(jí):高
  • BID:95342
  • cve編號(hào):CVE-2017-2936
• Adobe Acrobat/Reader多個(gè)緩沖區(qū)溢出漏洞(CVE-2017-2952)（APSB17-01）
  • 危險(xiǎn)等級(jí):高
  • BID:95346
  • cve編號(hào):CVE-2017-2952
• Adobe Acrobat/Reader多個(gè)緩沖區(qū)溢出漏洞(CVE-2017-2948)（APSB17-01）
  • 危險(xiǎn)等級(jí):高
  • BID:95346
  • cve編號(hào):CVE-2017-2948
• Adobe Flash Player 堆緩沖區(qū)溢出漏洞(CVE-2017-2927)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95347
  • cve編號(hào):CVE-2017-2927
• Adobe Flash Player 堆緩沖區(qū)溢出漏洞(CVE-2017-2934)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95347
  • cve編號(hào):CVE-2017-2934
• Adobe Flash Player 堆緩沖區(qū)溢出漏洞(CVE-2017-2935)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95347
  • cve編號(hào):CVE-2017-2935
• Adobe Flash Player 堆緩沖區(qū)溢出漏洞(CVE-2017-2933)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95347
  • cve編號(hào):CVE-2017-2933
• Adobe Acrobat/Reader安全限制繞過(guò)漏洞(CVE-2017-2947)（APSB17-01）
  • 危險(xiǎn)等級(jí):高
  • BID:95348
  • cve編號(hào):CVE-2017-2947
• Adobe Flash Player 內(nèi)存損壞漏洞(CVE-2017-2926)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95350
  • cve編號(hào):CVE-2017-2926
• Adobe Flash Player 內(nèi)存損壞漏洞(CVE-2017-2925)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95350
  • cve編號(hào):CVE-2017-2925
• Microsoft Office 內(nèi)存損壞漏洞(CVE-2017-0003)(MS17-002)
  • 危險(xiǎn)等級(jí):高
  • cve編號(hào):CVE-2017-0003
• Adobe Flash Player 內(nèi)存損壞漏洞(CVE-2017-2930)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95350
  • cve編號(hào):CVE-2017-2930
• Adobe Flash Player 內(nèi)存損壞漏洞(CVE-2017-2928)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95350
  • cve編號(hào):CVE-2017-2928
• Adobe Flash Player 內(nèi)存損壞漏洞(CVE-2017-2931)(APSB17-02)
  • 危險(xiǎn)等級(jí):高
  • BID:95350
  • cve編號(hào):CVE-2017-2931
• Microsoft Windows LSASS本地拒絕服務(wù)漏洞(CVE-2017-0004)(MS17-004)
  • 危險(xiǎn)等級(jí):高
  • BID:95318
  • cve編號(hào):CVE-2017-0004
• Microsoft Edge遠(yuǎn)程權(quán)限提升漏洞(CVE-2017-0002)（MS17-001）
  • 危險(xiǎn)等級(jí):高
  • BID:95284
  • cve編號(hào):CVE-2017-0002
• PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2016-7480)
  • 危險(xiǎn)等級(jí):高
  • BID:95152
  • cve編號(hào):CVE-2016-7480
• PHP 拒絕服務(wù)漏洞(CVE-2016-7479)
  • 危險(xiǎn)等級(jí):高
  • BID:95151
  • cve編號(hào):CVE-2016-7479
• Mozilla Firefox ESR 拒絕服務(wù)漏洞(CVE-2016-9905)
  • 危險(xiǎn)等級(jí):中
  • BID:94884
  • cve編號(hào):CVE-2016-9905
• GnuTLS多個(gè)棧緩沖區(qū)溢出漏洞(CVE-2017-5335)
  • 危險(xiǎn)等級(jí):高
  • BID:95374
  • cve編號(hào):CVE-2017-5335
• OpenSSL本地信息泄露漏洞(CVE-2016-7056)
  • 危險(xiǎn)等級(jí):中
  • BID:95375
  • cve編號(hào):CVE-2016-7056
• GnuTLS棧緩沖區(qū)溢出漏洞(CVE-2017-5336)
  • 危險(xiǎn)等級(jí):高
  • BID:95377
  • cve編號(hào):CVE-2017-5336
• Advantech WebAccess 身份驗(yàn)證繞過(guò)漏洞（CVE-2017-5152）
  • 危險(xiǎn)等級(jí):低
  • cve編號(hào):CVE-2017-5152
• Advantech WebAccess SQL注入漏洞（CVE-2017-5154）
  • 危險(xiǎn)等級(jí):中
  • cve編號(hào):CVE-2017-5154
• Juniper多個(gè)產(chǎn)品信息泄露漏洞(CVE-2017-2304)
  • 危險(xiǎn)等級(jí):中
  • BID:95403
  • cve編號(hào):CVE-2017-2304
• Exponent CMS 任意代碼執(zhí)行及文件上傳漏洞
  • 危險(xiǎn)等級(jí):高
  • BID:93119
  • cve編號(hào):CVE-2016-7565,CVE-2016-7790,CVE-2016-7791
• Linux Kernel 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2015-5364)
  • 危險(xiǎn)等級(jí):中
  • BID:75510
  • cve編號(hào):CVE-2015-5364
• PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-5340)
  • 危險(xiǎn)等級(jí):中
  • BID:95371
  • cve編號(hào):CVE-2017-5340
• Linux Kernel 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2015-5366)
  • 危險(xiǎn)等級(jí):中
  • BID:75510
  • cve編號(hào):CVE-2015-5366

（數(shù)據(jù)來(lái)源：綠盟科技安全研究部&產(chǎn)品規(guī)則組）

原文發(fā)布時(shí)間：2017年3月24日 本文由：綠盟科技?發(fā)布，版權(quán)歸屬于原作者 原文鏈接：http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201702# 本文來(lái)自云棲社區(qū)合作伙伴安全加，了解相關(guān)信息可以關(guān)注安全加網(wǎng)站

總結(jié)

以上是生活随笔為你收集整理的绿盟科技网络安全威胁周报2017.02 请关注Microsoft Edge远程权限提升漏洞 CVE-2017-0002...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。