CNNVD最新漏洞（2018-01-08）

今日CNNVD共发布安全漏洞67个，更新安全漏洞9个。主要影响厂商为美国Microsoft（32个）、美国IBM（7个）、美国Cisco（3个），主要影响产品为Microsoft Windows操作系统（1个）、IBM Security Key Lifecycle Manager生命周期管理软件（6个）、Cisco WebEx Business Suite meeting sites多功能视频会议解决方案（2个）。

今日需关注的典型漏洞如下:

【漏洞名称】Microsoft Windows Edge 权限许可和访问控制漏洞

【漏洞编号】CNNVD-201801-170（CVE-2018-0803）

【漏洞详情】Microsoft Windows 10和Windows Server 2016都是美国微软（Microsoft）公司的产品。前者是一套供个人电脑使用的操作系统，后者是一套服务器操作系统。Edge是其中的一款系统附带的Web浏览器。

Microsoft Windows中的Edge存在提权漏洞，该漏洞源于程序没有正确的强制执行跨域策略。攻击者可利用该漏洞跨域访问信息，并将该信息注入到其他域。以下版本受到影响：Microsoft Windows 10，Windows 10版本1511，Windows 10版本1607，Windows 10版本1703，Windows 10版本1709，Windows Server 2016。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0803

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-170

【漏洞名称】IBM Security Key Lifecycle Manager 跨站脚本漏洞

【漏洞编号】CNNVD-201801-164（CVE-2017-1673）

【漏洞详情】IBM Security Key Lifecycle Manager（前称Tivoli Key Lifecycle Manager）是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。

IBM Security Key Lifecycle Manager 2.5版本至2.5.0.8版本、2.6版本至2.6.0.3版本和2.7版本至2.7.0.2版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞向Web UI注入任意的JavaScript代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

http://www-01.ibm.com/support/docview.wss?uid=swg22012015

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-164

【漏洞名称】多款Cisco产品WebEx ARF player 缓冲区错误漏洞

【漏洞编号】CNNVD-201801-206（CVE-2018-0103）

【漏洞详情】Cisco WebEx Business Suite meeting sites、Cisco WebEx Meetings sites和Cisco WebEx Meetings Server都是国思科（Cisco）公司的多功能视频会议解决方案。WebEx ARF player是其中的一个主要用于播放ARF格式的WebEx录制文件的媒体播放器。

多款Cisco产品中的WebEx ARF player存在缓冲区溢出漏洞。攻击者可通过向用户发送链接或带有恶意ARF文件的邮件附件，并诱使用户打开链接或启动该文件利用该漏洞在用户系统上执行任意代码。以下版本受到影响：WebEx Business Suite meeting sites；Cisco WebEx Meetings sites；Cisco WebEx Meetings Server。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180103-wnrp

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-206

【漏洞名称】WordPress Simple Download Monitor插件跨站脚本漏洞

【漏洞编号】CNNVD-201801-160（CVE-2018-5213）

【漏洞详情】WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。Simple Download Monitor plugin是使用在其中的一个下载监视器插件。

WordPress Simple Download Monitor插件3.5.4之前的版本中存在跨站脚本漏洞。远程攻击者可借助‘sdm_upload（又名Downloadable File）’参数利用该漏洞获取用户及管理员cookie或执行恶意操作。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://cn.wordpress.org/plugins/simple-download-monitor/#developers

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-160

【漏洞编号】CNNVD-201801-207（CVE-2017-18020）

【漏洞详情】Samsung mobile devices是韩国三星（Samsung）公司生产的智能移动设备。Android L、M和N是美国谷歌（Google）公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的不同版本的开源操作系统。Exynos chipsets是韩国三星（Samsung）公司基于ARM架构设计研发的处理器。

使用Android L(5.x)、M(6.x)和N(7.x)和Exynos芯片的Samsung移动设备存在安全漏洞，该漏洞源于程序在将ramfs数据复制到内存时，没有检测大小值。攻击者可利用该漏洞在启动装载中执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.samsungmobile.com/securityUpdate.smsb

【漏洞链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-207

新增漏洞信息如下表所示：

国家信息安全漏洞库（CNNVD）将每天发布最新漏洞信息，更多内容请登录官方网站：

http://www.cnnvd.org.cn/web/vulnerability/querylist.tag