2019年11月安全公告

文檔聲明

本文檔歸屬權為廣州謙益科技有限公司所有，文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別註明，受到有關產權及版權法保護。任何個人、機構未經廣州謙益科技有限公司的書面授權許可，不得以任何方式複製或引用本文的任何片段。

 

版本信息說明

時間

版本

內容

操作者

2019.12.3

V0.9

編寫

鄭威

2019.12.5

V1.0

審核

陳振華

 

 

目錄

1            漏洞統計及種類分布情況

2            漏洞預警

3            病毒預警

4            廠商動態

5            安全資訊

6            參考來源

7            服務與支持

1 漏洞統計及種類分布情況

根據國家信息安全漏洞庫（CNNVD）統計，2019 年 11 月份新增安全漏洞共 1398 個，從廠商分布來看，Linux 公司產品的漏洞數量最多，共發布 79 個；從漏洞類型來看，輸入驗證錯誤類的漏洞佔比最大，達到 11.44%。本月新增漏洞中，超危漏洞 126 個、高危漏洞 479個、中危漏洞 727 個、低危漏洞 66 個，相應修復率分別為 82.54%、77.04%、70.98%以及 69.70%。合計 1035 個漏洞已有修復補丁發布，本月整體修復率 74.03%。

截至 2019 年 11 月 30 日，CNNVD 採集漏洞總量已達 136342 個。

1.1    漏洞增長概況       

1.2  漏洞分布情況

11月廠商漏洞數量分布情況如表 1 所示，Linux 公司達到 79 個，佔本月漏洞總量的 5.69%。本月 Linux、Intel、谷歌等公司的漏洞數量均有所上升，蘋果、IBM 等廠商的漏洞數量出現較不同程度的下降。

表 1   2019 年 11 月主流作業系統漏洞數量統計

序號

作業系統名稱

漏洞數量

1

Linux Kernel

74

2

Windows 10

52

3

Windows Server 1803 4

46

4

Windows Server 1903

44

5

Windows Server 2016

38

6

Windows 8.1

37

7

Windows Server 2012

37

8

Windows Server 2008

35

9

Windows 7

34

10

Windows Rt 8.1

32

11

Android

24

12

Apple iOS

18

 

11 月份發布的漏洞類型分布如表 3 所示，其中輸入驗證錯誤類漏洞所佔比例最大，約為 11.44%。

表 2   2019年11月漏洞類型TOP10統計表

序號

漏洞類型

漏洞數量

所佔比例

1

輸入驗證錯誤

160

11.44%

2

跨站腳本

145

10.37%

3

緩衝區錯誤

116

8.30%

4

訪問控制錯誤

101

7.22%

5

資源管理錯誤

97

6.94%

6

信息洩露

90

6.44%

7

代碼問題

60

4.29%

8

SQL 注入

33

2.36%

9

授權問題

26

1.86%

10

跨站請求偽造

22

1.57%

 

2 漏洞預警

2.1 CNVD-2019-42756：Google Chrome資源管理錯誤漏洞

漏洞信息詳情：

CVE ID: CVE-2019-13411

發布日期：2019-11-29

漏洞評估：高危

受影響的產品：

GoogleChrome <75.0.3770.142

漏洞描述：

GoogleChrome是美國谷歌（Google）公司的一款Web瀏覽器。

GoogleChrome 75.0.3770.142之前版本中存在安全漏洞。該漏洞源於系統對資源（如內存）的管理不當。遠程攻擊者可藉助特製的HTML頁面利用該漏洞造成堆破壞。

解決建議：

目前廠商已發布升級補丁以修復漏洞，詳情請關注廠商主頁：

https://chromereleases.googleblog.com/2019/07/stable-channel-update-for-desktop.html

2.2 CNVD-2019-42589：Google Chrome內存錯誤引用漏洞漏洞信息詳情：

CVEID:CVE-2019-5868

發布日期：2019-11-28

漏洞評估：中危

受影響的產品：

Google Chrome<76.0.3809.100

漏洞描述：

GoogleChrome是美國谷歌（Google）公司的一款Web瀏覽器。PDFium是其中的一個開源PDF渲染引擎。 

GoogleChrome 76.0.3809.100之前版本存在安全漏洞。遠程攻擊者可通過特製PDF文件利用利用該漏洞導致堆破壞。

解決建議：

目前廠商已發布升級補丁以修復漏洞，詳情請關注廠商主頁：

https://chromereleases.googleblog.com/2019/08/stable-channel-update-for-desktop.html

2.3 CNVD-2019-39404 Dnsmasq信息洩露漏洞

漏洞信息詳情：

CVE ID: CVE-2019-14834

發布日期：2019-11-06

漏洞評估：中危

受影響系統：

Dnsmasq

漏洞描述:

Dnsmasq是一款輕量級、易於配置的DNS轉發器和DHCP伺服器。

Dnsmasq中存在信息洩露漏洞，該漏洞源於網絡系統或產品在運行過程中存在配置等錯誤，未授權的攻擊者可利用該漏洞獲取受影響組件敏感信息。

解決建議：

目前廠商已發布升級補丁以修復漏洞，補丁獲取連結：http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=commit;h=69bc94779c2f035a9fffdb5327a54c3aeca73ed5

2.4 CNVD-2019-38823  OracleSiebel CRM存在未明漏洞

漏洞信息詳情：

CVE ID：CVE-2019-2965

發布日期：2019-11-03

漏洞評估：中危

受影響系統:

Oracle Oracle Siebel CRM<=19.8

漏洞描述：

Oracle SiebelCRM是Oracle推出的客戶關係管理解決方案。

OracleSiebel CRM存在未明漏洞。攻擊者可利用該漏洞未授權訪問數據，影響數據的保密性。

解決建議：

廠商已發布了漏洞修復程序，請及時關注更新：

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

3 病毒預警

本月境內感染網絡病毒的主機 數量約為 239.76 萬個，其中包括境內被木馬或被殭屍程序控制的主機約205.71萬以及境內感染飛客（conficker）蠕蟲的主機約34.05萬。

經過分析整理，認為本月最具影響性和破壞性的惡意軟體如下：

3.1 幽蟲木馬升級

病毒名稱：幽蟲

病毒類型：木馬病毒

影響的平臺：Windows

病毒行為：

國家計算機病毒應急處理中心通過對網際網路的監測，發現新型幽蟲木馬變種通過偽裝激活工具的方式進行傳播。所謂幽蟲，其實是指通過外掛、破解軟體、偽裝激活工具，盜版系統等進行傳播，後續釋放內核驅動實現長期駐留，感染用戶機器後會通過篡改瀏、覽器主頁，靜默推廣軟體等方式進行盈利的病毒木馬。

此次變種升級後的幽蟲木馬，主要通過偽裝激活工具的方式大肆擴散，且相比於一年前泛濫的幽蟲木馬，此版本還可繞開殺毒軟體的查殺攔截，更為悄無聲息的進入目標用戶電腦。

同時由於幽蟲木馬通常會以暗地下載推廣程序，瘋狂點擊廣告等流量劫持的方式獲利，導致用戶感染而不知悉的情況十分普遍，這進一步促成了幽蟲木馬的傳播。

預防建議：

       針對該惡意程序所造成的危害，建議用戶及時給電腦打補丁，修復漏洞，關閉不必要的埠。同時，給電腦安裝安全防護軟體，以免使電腦受到該惡意程序的危害。

3.2 Anubis木馬變種

病毒名稱：Anubis

病毒類型：木馬病毒

影響的平臺：Windows

病毒行為：

    國家計算機病毒應急處理中心通過對網際網路的監測，捕獲到一款仿冒為抖音國際版TikTok的惡意軟體，經過分析發現該惡意軟體為Anubis木馬變種。

Anubis是一種主要活動在歐美等地的Android銀行木馬，其攻擊手法主要通過偽裝成金融應用、聊天應用、手機遊戲、購物應用、軟體更新、郵件應用、瀏覽器應用等一些主流的APP及用戶較多的APP進行植入。Anubis自爆發以來，已經席捲全球100多個國家，影響到300多家金融機構。

此次Anubis通過仿冒國際版抖音TikTok傳播，就是看到了TikTok的用戶量。雖然被仿冒的為國際版抖音TikTok ，但因為各種原因此應用還會被國內用戶嘗試安裝使用，通過數據分析確實發現了基於這個渠道導致Anubis木馬感染的部分國內用戶。

預防建議:

1、及時給電腦打補丁，修復漏洞；

2、對重要的數據文件定期進行非本地備份；

3、不要點擊來源不明的郵件附件，不從不明網站下載軟體；

4、儘量關閉不必要的文件共享權限；

5、更改帳戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

4 廠商動態

4.1 Oracle 電子商務套間存嚴重缺陷可導致上萬企業面臨風險

11 月 20 日，bleepingcomputer網站消息，Oracle 電子商務套件（EBS）中發現的兩個不當訪問控制漏洞（CVE-2019-2638 和 CVE-2019-2633），可能使攻擊者完全控制公司的整個企業資源計劃（ERP）解決方案。Onapsis 研究實驗室表示，全球超過 21000 個機構將 Oracle EBS 用於財務管理、客戶關係管理（CRM）、供應鏈管理（SCM）、人力資本管理（HCM）、物流、採購等，由於受影響的組件存在於所有 EBS 安裝中，因此所有使用Oracle EBS 客戶可能會面臨風險。消息還顯示，利用這些 Oracle EBS 安全問題進行的攻擊還可能導致個人敏感信息和企業財務信息的洩露。這些嚴重的缺陷會影響企業 ERP 系統中信息的所有機密性、完整性和可用性。

4.2 託管提供商 SmarterASP.NET 承認遭到勒索軟體攻擊客戶數據被加密

11 月 12 日 CNBeta 網站消息，SmarterASP.NET 公司發布公告稱遭到勒索軟體的攻擊，這也是 2019 年遭到網絡攻擊而下線的第三家大型網絡託管公司，黑客不僅破壞了攻擊的託管業務而且還對客戶伺服器上的數據進行了加密。SmarterASP.NET 官方表示正在努力恢復客戶數據，但尚不清楚該公司是支付了贖金，還是從備份中進行了恢復。

4.3 字節碼聯盟成立，WebAssembly生態將完善網絡安全性11 月 13 日，外媒 Techcrunch 消息，Mozilla、Fastly、Intel 與 Red Hat 宣布成立聯合組織 Bytecode Alliance（字節碼聯盟），該聯盟旨在通過協作實施標準和提出新標準，以完善WebAssembly 在瀏覽器之外的生態。消息指出，Bytecode Alliance 將建立起可靠安全的基礎，無論在雲中、本地桌面，還是小型 IoT 設備上，都可以安全地使用不受信任的代碼。開發人員可以以相同的方式使用開原始碼，而不會給用戶帶來風險，而這些通用的可重用基礎集可以單獨使用，也可以嵌入其它庫和應用中。5 安全資訊5.1 國家網信辦就《網絡安全威脅信息發布管理辦法（徵求意見稿）》公開徵求意見11 月 20 日，中國國家網際網路信息辦公室發布《關於<網絡安全威脅信息發布管理辦法（徵求意見稿）>公開徵求意見的通知》。通知表示，為規範發布網絡安全威脅信息的行為，有效應對網絡安全威脅和風險，保障網絡運行安全，依據《中華人民共和國網絡安全法》等相關法律法規，國家網際網路信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發布管理辦法（徵求意見稿）》，向社會公開徵求意見。在通知發布的同時，國家網信辦還發布了《國家網際網路信息辦公室有關負責人就<網絡安全威脅信息發布管理辦法（徵求意見稿）>答記者問》，就《辦法》的制定背景、依據等 9 個問題回答了記者提問。5.2 西班牙兩家公司同天遭勒索軟體攻擊，引發 WannaCry 級恐慌

11 月 5 日 HackerNews 網站消息，近日，西班牙兩家大型公司 Everis（NTT Data Group旗下的 IT 諮詢公司）和 Cadena SER（西班牙最大的無線電網絡公司）在同一天內受到勒索軟體打擊，兩家公司都要求員工關閉計算機，並斷開網絡連接。Everis 在全球 18 個國家或地區擁有超過 2 萬名員工，勒索軟體已通過公司的內部網絡傳播，其他分支也受到了影響。西班牙國家安全局在事件發生後的數小時內發布安全建議，敦促公司改善網絡安全措施，並且建議其他受害者向西班牙國家網絡安全研究所 INCIBE 尋求幫助。據報導，儘管沒有類似 WannaCry 的勒索軟體爆發的跡象，但這兩個公司感染惡意程序事件對西班牙當地的商業環境產生了重大影響，許多本地公司使用 Everis 軟體進行日常活動，有人擔心自己被感染，選擇關閉程序來檢查系統。

5.3 中國網際網路金融協會發布關於加強個人信息保護意識依法開展業務的通知

11 月 11 日，21 世紀經濟報導，中國網際網路金融協會於 11 月 6 日向其會員單位下發《關於增強個人信息保護意識依法開展業務的通知》。中國網際網路金融協會指出，根據國家監管部門發現，社會上有一些網際網路機構以「大數據」為名，通過「爬蟲」業務涉嫌違法違規收集個人信息，或竊取、濫用、買賣、洩露個人信息，侵犯了消費者個人隱私，造成了不良的社會影響。為此，中國網際網路金融協會要求，不與違規收集和使用個人信息的第三方開展數據合作，不濫用、非法買賣和洩露消費者個人信息。同日，北京地區部分網際網路金融機構收到監管要求全面停止與「爬蟲」有關的放貸業務，導致一些平臺的基於「爬蟲」的放貸業務全面暫停。誕生於搜尋引擎時代的網絡爬蟲，在個人信息保護意識增強的當下，正在受到監管和法律的關注。

5.4 美加州下令要求Facebook 交出涉嫌侵犯用戶隱私的相關信息

 11 月 6 日 CNBC 消息，美國加州司法部長 Xavier Becerra 表示，Facebook 拒絕遵守要求其提供更多關於對其涉嫌侵犯用戶隱私的調查信息的傳票。在當地時間周三下午的新聞發布會上，Becerra 談到了加州對 Facebook 的訴訟，要求該公司交出任何跟隱私和第三方獲取用戶數據有關的文件，就像在劍橋分析醜聞中做的那樣。Becerra 指出，Facebook「沒有完全回應」他辦公室提出的信息要求，公開這些信息是別無選擇。

6 參考來源

 中國國家信息安全漏洞庫：

 http://www.cnnvd.org.cn/

 國家信息安全漏洞共享平臺

 http://www.cnvd.org.cn/

 國家網際網路應急中心

http://www.cert.org.cn/

 微軟中國安全技術中心

http://technet.microsoft.com/zh-cn/security

 國家計算機病毒應急處理中心

http://www.antivirus-china.org.cn/

7 服務與支持

安全問題通常是複雜多變的，對文檔的內容如有疑問，可以通過我公司提供的值班電話(020-88524296)，向安全專家進行諮詢，我們將從客觀性和技術可行性角度為用戶解答。