資安通告:7/15~7/21資安弱點威脅彙整週報
2017/07/28
風險等級: 中度威脅
摘  要:

各大廠牌軟硬體高風險弱點摘要

廠牌 軟硬體型號 弱點數量 說明 CVE ID
AppleItunes1基於Windows平台的Apple iTunes 12.6.2之前版本中,元件存在安全弱點。攻擊者可藉助特製的應用程序,利用該弱點以系統權限執行任意指令。
CVE-2017-7053
AppleMac_os_x1Apple macOS Sierra 10.12.6之前的版本中,Bluetooth元件存在記憶體損壞弱點。攻擊者可藉助特製的應用程序,利用該弱點以系統權限執行任意指令或造成拒絕服務(記憶體損壞)。
CVE-2017-7050
CVE-2017-7051
CVE-2017-7054
AppleSafari1多款Apple產品中的WebKit元件中,存在記憶體損壞弱點。遠端攻擊者可藉助特製的網站,利用該弱點執行任意指令或造成拒絕服務(記憶體損壞和應用程序崩潰)。以下產品和版本受到影響:Apple Safari 10.1.2之前的版本;tvOS 10.2.2之前的版本;iOS 10.3.3之前的版本;基於Windows平台的iCloud 6.2.2之前的版本;基於Window平台的iTunes 12.6 .2之前的版本。
CVE-2017-7040
CVE-2017-7041
CVE-2017-7042
CVE-2017-7043
ChitoraLhaz、Lhaz+4Lhaz 2.4.0(含)之前版本和Lhaz+ 3.4.0(含)之前版本和存在多個弱點,可能允許攻擊者透過木馬程式取得權限。
CVE-2017-2246
CVE-2017-2247
CVE-2017-2248
CVE-2017-2249
CiscoIOS、IOSXE9Cisco IOS 12.0至12.4之前版本、15.0至15.6之前版本和IOS XE 2.2 至3.17 存在SNMP 協定的弱點,遠端攻擊者可透過發送惡意的SNMP 封包來執行任意代碼或導致系統重新啟動。
CVE-2017-6736
CVE-2017-6737
CVE-2017-6738
CVE-2017-6739
CVE-2017-6740
CVE-2017-6741
CVE-2017-6742
CVE-2017-6743
CVE-2017-6744
EyesOfNetworkEyesOfNetwork1EyesOfNetwork (EON) 5.1的eonweb存在安全SQL injection 弱點,可被利用執行遠端攻擊。CVE-2017-1000060
FreeRADIUSFreeRADIUS1FreeRADIUS 3.x 在3.0.15 之前版本存在安全弱點,可被利用執行阻斷服務攻擊。CVE-2017-10985
HikBARAAttacheCase2AttacheCase 3.2.2.6(含)之前版本所產製的自解檔案存在未受信任的搜尋路徑弱點,可被攻擊者利用未指定目錄內的木馬DLL檔取得權限。CVE-2017-2271
CVE-2017-2272
Microsoft edge 1 Microsoft 瀏覽器存在遠端執行指令弱點。攻擊者可利用該弱點執行任意指令破壞記憶體。 CVE-2017-0152
ONOS Project ONOS 1 Linux foundation ONOS 1.9.0 存在弱點。攻擊者可利用該弱點進行阻斷服務攻擊。 CVE-2017-1000079
Resume Next FileCapsule Deluxe Portable 6 FileCapsule Deluxe Portable 1.0.4.1及之前版本、1.0.5.1及之前版本、2.0.9及之前版本中存在弱點。攻擊者可藉助目錄下的惡意 DLL 利用該弱點取得權限。 CVE-2017-2265
CVE-2017-2266
CVE-2017-2267
CVE-2017-2268
CVE-2017-2269
CVE-2017-2270
Sourcenextfile_compact1File Compact Ver.5版本5.09及更早版本,Ver.6版本6.01及更早版本,Ver.7版本7.01及更早版本創建的自解壓縮檔文件中存在弱點,該弱點允許攻擊者經由未指定目錄中的特洛伊木馬獲取權限。
CVE-2017-2252
WiresharkWireshark2攻擊者可利用該弱點消耗大量CPU資源。
CVE-2017-11406
CVE-2017-11409
WiresharkWireshark2攻擊者可利用該弱點造成拒絕服務。
CVE-2017-11410
CVE-2017-11411
YahooToolbar1Yahoo! Toolbar (for Internet explorer) 8.0.0.6及之前的版本中的安裝程序存在不可信任的搜索路徑弱點。攻擊者可藉助目錄下的惡意DLL並利用該弱點獲取權限。
CVE-2017-2253

註:中低風險弱點資訊請參考US-CERT網站

影響系統:
    受影響廠牌如下:
  • Apple
  • Chitora
  • Cisco
  • Eyesofnetwork
  • Freeradius
  • Hibara
  • Microsoft
  • Onosproject
  • Resume-next
  • Sourcenext
  • Wireshark
  • Yahoo

解決辦法: 詳細資訊請參考CVE ID之連結
細節描述: 詳細資訊請參考CVE ID之連結
參考資訊: ForeignAffairs (2017-07-25)
US-CERT (2017-07-24)