【安全周报】谷歌发布7月Android补丁，修复11个重要漏洞

焦点漏洞

◆ 焦点漏洞 

Mozilla Firefox整数溢出漏洞

◆ NSFOCUS ID

40237

◆ CVE ID

CVE-2018-12362

◆ 受影响版本 

Mozilla Firefox < 61

◆ 漏洞点评 

Firefox是一款开源Web浏览器。Mozilla Firefox 61之前版本，在SSSE3 scaler实现上存在整数溢出漏洞。远程攻击者可借助特制的网站利用该漏洞执行任意代码或造成拒绝服务。目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商主页及时下载更新。

 互联网安全威胁态势

CVE统计

最近一周CVE公告总数与前期相比有明显增多。

2

每日简报回顾

标题：微信支付XML外部实体注入漏洞 购买商品无需付费 附解决方案

时间：2018-07-04

简介：北京时间7月3日，国外研究人员发现了一个微信支付的漏洞。该漏洞源于微信在JAVA版本SDK中的实现存在一个XXE漏洞。攻击者若获得了商家的关键性安全密钥，就可以通过伪造信息来购买商家的任何物品而无需付费。

链接：http://toutiao.secjia.com/article/page?topid=110450

标题：Wordpress v4.9.7修复任意文件删除漏洞 赶快下载更新吧

时间：2018-07-09

简介：近期，研究人员纰漏了wordpress的删除任意文件漏洞，攻击者可以利用bug删除wp配置文件， 删除此文件的攻击者可以重新启动安装过程并使用他们自己的数据库设置安装该站点，从而有效地劫持站点以传递自定义或恶意内容。目前，wordpress团队已修复并发布新版本4.9.7，站长们赶快下载更新把。

链接：

http://toutiao.secjia.com/article/page?topid=110471

标题：谷歌发布Android补丁2018.7 修复远程代码执行等重要漏洞

时间：2018-07-09

简介：上周，谷歌发布了2018年7月的Android补丁，解决了流行的移动操作系统中的11个漏洞，包括3个关键问题和8个影响框架，媒体框架和系统的高风险漏洞。影响框架的最严重漏洞（CVE-2018-9433）可能被远程攻击者利用特制的pac文件在特权进程的上下文中执行任意代码。多个Android版本受到影响。

链接：

http://toutiao.secjia.com/article/page?topid=110473

标题：Researchers Create Attacks That Compromise LTE Data Communication

时间：2018-07-02

简介：Newly devised attacks on the Long Term Evolution (LTE) high-speed wireless standard break the confidentiality and privacy of communication, a team of researchers claim.

链接：

https://www.securityweek.com/researchers-create-attacks-compromise-lte-data-communication

标题：Flaws Expose Siemens Central Plant Clocks to Attacks

时间：2018-07-03

简介：Siemens informed customers on Tuesday that some of its SICLOCK central plant clocks are affected by several vulnerabilities, including ones that have been rated “critical.”

链接：

https://www.securityweek.com/flaws-expose-siemens-central-plant-clocks-attacks

……

（数据来源：绿盟科技 威胁情报与网络安全实验室 收集整理）

漏洞研究

1

漏洞库统计

截止到2018年7月6日，绿盟科技漏洞库已收录总条目达到40314条。本周新增漏洞记录92条，其中高危漏洞数量18条，中危漏洞数量40条，低危漏洞数量34条。

Mozilla Firefox/Firefox ESR 整数溢出漏洞(CVE-2018-12361)

危险等级:高

cve编号:CVE-2018-12361

ImageMagick 拒绝服务漏洞(CVE-2017-17914)

危险等级:中

cve编号:CVE-2017-17914

GraphicsMagick 缓冲区溢出漏洞(CVE-2017-17912)

危险等级:中

cve编号:CVE-2017-17912

Medtronic MyCareLink Patient Monitor调试代码安全漏洞(CVE-2018-8868)

危险等级:中

cve编号:CVE-2018-8868

IBM RQM/RCLM跨站脚本漏洞(CVE-2017-1592)

危险等级:低

cve编号:CVE-2017-1592

SICLOCK TC100/TC400安全限制绕过漏洞(CVE-2018-4852)

危险等级:高

cve编号:CVE-2018-4852

SICLOCK TC100/TC400信息泄露漏洞(CVE-2018-4855)

危险等级:高

cve编号:CVE-2018-4855

......

点击“阅读原文”查看完整内容

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP