國家信息安全漏洞共享平臺:華為手機系統一信息漏洞為“高危”
11月29日,國家信息安全漏洞共享平臺(CNVD)發布報告稱,本周共收集、整理信息安全漏洞536個,其中高危漏洞193個、中危漏洞261個、低危漏洞82個。其中,“Huawei EMUI(華為手機操作系統)和Magic UI信息泄露漏洞(CNVD-2022-81251)、Elcomplus SmartPPT文件上傳漏洞”等漏洞的綜合評級為“高危”。
目前,相關廠商已經發布了漏洞的修補程序。
本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數39112個,與上周(17037個)環比增加1.3倍。這些漏洞涉及Jenkins、Google、Adobe等多家廠商的產品。
本周,CNVD向銀行、保險、能源等重要行業單位通報漏洞事件41起,向基礎電信企業通報漏洞事件26起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件1097起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件210起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件174起。
此外,CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,其中包括:北京小米科技有限責任公司、新浪網技術(中國)有限公司、攜程旅行網、北京星網銳捷網絡技術有限公司、阿里巴巴集團安全應急響應中心等。
而報送這些漏洞的公司,則包括奇安信網神(補天平臺)、斗象科技(漏洞盒子)和上海交大等平臺,他們向CNVD共享的白帽子報送了35342條原創漏洞信息。
從類型來看,本周,CNVD收錄了536個漏洞。WEB應用255個,應用程序181個,網絡設備(交換機、路由器等網絡端設備)55個,智能設備(物聯網終端設備)19個,操作系統19個,安全產品5個,數據庫2個。
CNVD整理和發布的漏洞涉及Jenkins、Google、Adobe、三星、新華三、華為等多家廠商的產品。其中,Adobe Dimension是美國Adobe公司的一套2D和3D合成設計工具。Adobe InDesign是一套排版編輯應用程序。本周,上述產品被披露存在多個漏洞,攻擊者可利用漏洞執行任意代碼。
本周,CNVD收錄了收錄了36個電信行業漏洞,30個移動互聯網行業漏洞,11個工控行業漏洞。其中,“Huawei EMUI和Magic UI信息泄露漏洞(CNVD-2022-81251)、Elcomplus SmartPPT文件上傳漏洞”等漏洞的綜合評級為“高危”。目前,相關廠商已經發布了漏洞的修補程序。
