CNNVD最新漏洞（2019-01-15）

今日CNNVD共发布安全漏洞72个，更新安全漏洞9个。主要影响厂商为美国Apple （37个）、美国IBM （4个）、美国Google （1个）。主要影响产品为Apple iOS操作系统（19个）、IBM Security Identity Manager解决方案（3个）、Google Chrome浏览器（1个）。

今日需关注的典型漏洞如下:

【漏洞名称】多款Apple产品WebKit 安全漏洞

【漏洞编号】CNNVD-201901-401（CVE-2018-4207）

【漏洞详情】Apple iOS等都是美国苹果（Apple）公司的产品。Apple iOS是为移动设备所开发的一套操作系统；Safari是一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。iTunes for Windows是一款基于Windows平台的媒体播放器应用程序。WebKit是其中的一个Web浏览器引擎组件。

多款Apple产品中的WebKit组件存在安全漏洞。攻击者可利用该漏洞造成ASSERT失败。以下产品和版本受到影响：Apple iOS 11.3之前版本；Safari 11.1之前版本；基于Windows平台的iCloud 7.4之前版本；tvOS 11.3之前版本；watchOS 4.3之前版本；基于Windows平台的iTunes 12.7.4之前版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.apple.com/zh-cn/HT208693

https://support.apple.com/zh-cn/HT208694

https://support.apple.com/zh-cn/HT208695

https://support.apple.com/zh-cn/HT208696

https://support.apple.com/zh-cn/HT208697

https://support.apple.com/zh-cn/HT208698

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-401

【漏洞名称】IBM Security Identity Manager 安全漏洞

【漏洞编号】CNNVD-201901-442（CVE-2018-1967）

【漏洞详情】IBM Security Identity Manager（ISIM）是美国IBM公司的一套身份管理和治理解决方案。该方案可在整个用户生命周期内自动创建、修改、重新认证和终止用户特权，并支持基于策略的密码管理。

IBM ISIM 6.0.0版本至6.0.0.20版本中存在安全漏洞。远程攻击者可利用该漏洞向Web UI中注入任意的JavaScript代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www-01.ibm.com/support/docview.wss?uid=ibm10794615

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-442

【漏洞名称】Google Chrome 缓冲区错误漏洞

【漏洞编号】CNNVD-201807-1275（CVE-2018-6153）

【漏洞详情】Google Chrome是美国谷歌（Google）公司开发的一款Web浏览器。

Google Chrome 68.0.3440.75之前版本中存在基于栈的缓冲区溢出漏洞，该漏洞源于Skia对边界检查处理不当。远程攻击者可借助特制的网站利用该漏洞在系统上执行任意代码或造成应用程序崩溃（越边界内存写入）。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://chromereleases.googleblog.com/2018/07/stable-channel-update-for-desktop.html

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201807-1275

【漏洞名称】多款Lenovo产品Synaptics Pointing Device驱动程序安全漏洞

【漏洞编号】CNNVD-201901-435（CVE-2018-16098）

【漏洞详情】Lenovo ThinkPad Helix 20CG等都是中国联想（Lenovo）公司的笔记本电脑产品。Synaptics Pointing Device是其中的一个操纵杆和触控板驱动程序。

多款Lenovo产品中的Synaptics Pointing Device驱动程序存在安全漏洞。攻击者可利用该漏洞执行代码。以下产品受到影响：Lenovo ThinkPad Helix 20CG；ThinkPad Helix 20CH；ThinkPad Helix (3xxx)；ThinkPad L430/L530；ThinkPad P50 20EN；ThinkPad P50 20EQ；ThinkPad P50s 20FK；ThinkPad P50s 20FL；ThinkPad P51 20MN；ThinkPad P51 20MM等。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://support.lenovo.com/us/zh/product_security/len-24573

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-435

【漏洞名称】Emerson DeltaV Distributed Control System 安全漏洞

【漏洞编号】CNNVD-201901-433（CVE-2018-19021）

【漏洞详情】Emerson DeltaV Distributed Control System是美国艾默生电气（Emerson Electric）公司的一套自动化分布式控制系统。该系统包括网络安全管理、报警管理、批量控制和变更管理等功能。

Emerson DeltaV Distributed Control System中存在身份验证绕过漏洞。远程攻击者可利用该漏洞绕过身份验证机制并造成拒绝服务。以下版本受到影响：DeltaV Distributed Control System 11.3.1版本，11.3.2版本，12.3.1版本，13.3.1版本，14.3版本，R5.1版本，R6版本及之前版本。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.emerson.com/

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-433

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag