CNVD-ID

CNVD-2017-34128

发布时间

2017-11-16

危害级别

高危

影响产品

Linux kernel <4.13

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel中的net/packet/af_packet.c文件的'tpacket_rcv'函数存在安全漏洞，该漏洞源于程序未能正确的处理vnet包头。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务（缓冲区溢出、磁盘和内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-14497 
  http://www.securityfocus.com/bid/100871 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd

验证信息

未验证

报送时间

2017-09-18

发现时间

2017-09-18

漏洞附件

(无附件)

补丁链接

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel中的net/packet/af_packet.c文件的'tpacket_rcv'函数存在安全漏洞，该漏洞源于程序没有正确的处理vnet包头。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务（缓冲区溢出、磁盘和内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34092

发布时间

2017-11-16

危害级别

中危

影响产品

Xnview Xnview 2.41

漏洞描述

XnView Classic for Windows是法一套用于Windows平台的图片查看软件。 XnView Classic for Windows处理.jb2文件存在安全漏洞，允许远程攻击者利用漏洞提交特殊的文件，诱使用户解析，可使应用程序崩溃或执行任意代码。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-14580 

漏洞解决方案

用户可参考如下厂商提供的安全补丁以修复该漏洞： https://www.xnview.com

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

https://www.xnview.com

补丁描述

XnView Classic for Windows是法一套用于Windows平台的图片查看软件。 XnView Classic for Windows处理.jb2文件存在安全漏洞，允许远程攻击者利用漏洞提交特殊的文件，诱使用户解析，可使应用程序崩溃或执行任意代码。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34093

发布时间

2017-11-16

危害级别

中危

影响产品

Xnview Xnview 2.40

漏洞描述

XnView Classic for Windows是法国软件开发者Gougelet   Pierre-Emmanuel所研发的一套用于Windows平台的图片查看软件。该软件可用于查看、转换、组织和编辑图形及视频文件。 基于Windows平台的XnView   Classic 2.40版本中存在缓冲区溢出漏洞。本地攻击者可借助.svg文件利用该漏洞造成拒绝服务。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-14541 

漏洞解决方案

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法： https://www.xnview.com

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

CNVD-ID

CNVD-2017-34171

发布时间

2017-11-16

危害级别

中危

影响产品

Apache HTTP Server 2.2.34,Apache HTTP Server 2.4.*

漏洞描述

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。 Apache HTTP Server用户.htaccess文件中设置Limit指令存在安全漏洞，允许远程攻击者利用漏洞构建恶意请求，获取敏感内存信息。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-9798 

漏洞解决方案

用户可参考如下厂商提供的安全补丁以修复该漏洞：   https://github.com/apache/httpd/commit/29afdd2550b3d30a8defece2b95ae81edcf66ac9

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

https://github.com/apache/httpd/commit/29afdd2550b3d30a8defece2b95ae81edcf66ac9

补丁描述

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器。 Apache HTTP Server用户.htaccess文件中设置Limit指令存在安全漏洞，允许远程攻击者利用漏洞构建恶意请求，获取敏感内存信息。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34172

发布时间

2017-11-16

危害级别

中危

影响产品

Apache Wicket <1.5.13,Apache Wicket 6.*，<6.19.0,Apache Wicket 7.*，<7.0.0-M5

漏洞描述

Apache Wicket是美国阿帕奇（Apache）软件基金会的一套开源、轻量、基于组件的框架，它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。 Apache Wicket中存在安全漏洞。攻击者可利用该漏洞破坏加密保护机制并预测加密的URL。

漏洞类型

应用程序漏洞

参考链接

https://www.smrrd.de/cve-2014-7808-apache-wicket-csrf-2014.html 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   http://mail-archives.apache.org/mod_mbox/wicket-users/201502.mbox/%3CCAMomwMpLPDYezc=iFofm1R1Uq37vUFJ8VC-_ex5SU8-HAKBoRw@mail.gmail.com%3E

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

http://mail-archives.apache.org/mod_mbox/wicket-users/201502.mbox/%3CCAMomwMpLPDYezc=iFofm1R1Uq37vUFJ8VC-_ex5SU8-HAKBoRw@mail.gmail.com%3E

补丁描述

Apache Wicket是美国阿帕奇（Apache）软件基金会的一套开源、轻量、基于组件的框架，它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。 Apache Wicket中存在安全漏洞。攻击者可利用该漏洞破坏加密保护机制并预测加密的URL。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34166

发布时间

2017-11-16

危害级别

高危

影响产品

Apache Traffic Server 5.3.*，<5.3.2

漏洞描述

Apache Traffic Server是美国阿帕奇（Apache）软件基金会的一款高效、可扩展的HTTP代理和缓存服务器。 Apache Traffic Server 5.3.2之前的5.3.x版本中的HTTP/2 experimental功能存在未明漏洞。目前没有详细的漏洞细节提供。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2015-5168 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://cwiki.apache.org/confluence/display/TS/What%27s+New+in+v5.3.x

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

https://cwiki.apache.org/confluence/display/TS/What%27s+New+in+v5.3.x

补丁描述

Apache Traffic Server是美国阿帕奇（Apache）软件基金会的一款高效、可扩展的HTTP代理和缓存服务器。 Apache Traffic Server 5.3.2之前的5.3.x版本中的HTTP/2 experimental功能存在未明漏洞。目前没有详细的漏洞细节提供。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34167

发布时间

2017-11-16

危害级别

高危

影响产品

Apache Traffic Server 5.3.*，<5.3.2

漏洞描述

Apache Traffic Server是美国阿帕奇（Apache）软件基金会的一款高效、可扩展的HTTP代理和缓存服务器。 Apache Traffic Server 5.3.2之前的5.3.x版本中的HTTP/2 experimental功能存在安全漏洞。目前没有详细的漏洞细节提供。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2015-5206 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://cwiki.apache.org/confluence/display/TS/What%27s+New+in+v5.3.x

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

https://cwiki.apache.org/confluence/display/TS/What%27s+New+in+v5.3.x

补丁描述

Apache Traffic Server是美国阿帕奇（Apache）软件基金会的一款高效、可扩展的HTTP代理和缓存服务器。 Apache Traffic Server 5.3.2之前的5.3.x版本中的HTTP/2 experimental功能存在安全漏洞。目前没有详细的漏洞细节提供。 目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34168

发布时间

2017-11-16

危害级别

高危

影响产品

Apache Brooklyn <0.10.0

漏洞描述

Apache Brooklyn是美国阿帕奇（Apache）软件基金会的一套用于通过监控和管理应用程序来部署和管理分布式应用程序的框架。 Apache Brooklyn 0.10.0之前的版本中的SnakeYAML存在安全漏洞。攻击者可利用该漏洞加载并运行Java代码，从而打开文件和网络连接，并执行系统命令。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2016-8744 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://brooklyn.apache.org/community/security/CVE-2016-8744.html

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

https://brooklyn.apache.org/community/security/CVE-2016-8744.html

补丁描述

Apache Brooklyn是美国阿帕奇（Apache）软件基金会的一套用于通过监控和管理应用程序来部署和管理分布式应用程序的框架。 Apache Brooklyn 0.10.0之前的版本中的SnakeYAML存在安全漏洞。攻击者可利用该漏洞加载并运行Java代码，从而打开文件和网络连接，并执行系统命令。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34169

发布时间

2017-11-16

危害级别

高危

影响产品

Apache Spark >=1.6.0，<=2.1.1

漏洞描述

Apache Spark是美国阿帕奇（Apache）软件基金会的的一款支持非循环数据流和内存计算的大规模数据处理引擎。 Apache Spark 1.6.0版本至2.1.1版本中存在安全漏洞，该漏洞源于程序未能安全的反序列化数据。攻击者可利用该漏洞执行任意代码。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-12612 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： http://krbdev.mit.edu/rt/Ticket/Display.html?id=8598#lasttrans

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

http://krbdev.mit.edu/rt/Ticket/Display.html?id=8598#lasttrans

补丁描述

Apache Spark是美国阿帕奇（Apache）软件基金会的的一款支持非循环数据流和内存计算的大规模数据处理引擎。 Apache Spark 1.6.0版本至2.1.1版本中存在安全漏洞，该漏洞源于程序未能安全的反序列化数据。攻击者可利用该漏洞执行任意代码。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34129

发布时间

2017-11-16

危害级别

中危

影响产品

Linux Kernel

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux存在多个本地信息泄露漏洞。本地攻击者可以利用漏洞获取敏感信息。

漏洞类型

操作系统漏洞

参考链接

http://www.securityfocus.com/bid/100466/ 

漏洞解决方案

用户可联系供应商获得补丁信息：   https://www.kernel.org/

验证信息

未验证

报送时间

2017-09-19

发现时间

2017-09-19

漏洞附件

(无附件)

补丁链接

https://www.kernel.org/

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux存在多个本地信息泄露漏洞。本地攻击者可以利用漏洞获取敏感信息。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34133

发布时间

2017-11-16

危害级别

中危

影响产品

Linux kernel 4.13.3

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel 3.1-rc1版本至4.13版本中的net/wireless/nl80211.c文件的'nl80211_set_rekey_data()'函数存在安全漏洞。本地攻击者可利用该漏洞造成拒绝服务（空指针逆向引用和系统崩溃）。

漏洞类型

操作系统漏洞

参考链接

https://www.debian.org/security/2017/dsa-3981 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://git.kernel.org/pub/scm/linux/kernel/git/jberg/mac80211.git/commit/?id=e785fa0a164aa11001cba931367c7f94ffaff888

验证信息

未验证

报送时间

2017-09-22

发现时间

2017-09-22

漏洞附件

(无附件)

补丁链接

https://git.kernel.org/pub/scm/linux/kernel/git/jberg/mac80211.git/commit/?id=e785fa0a164aa11001cba931367c7f94ffaff888

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel 3.1-rc1版本至4.13版本中的net/wireless/nl80211.c文件的'nl80211_set_rekey_data()'函数存在安全漏洞。本地攻击者可利用该漏洞造成拒绝服务（空指针逆向引用和系统崩溃）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34124

发布时间

2017-11-16

危害级别

中危

影响产品

Linux kernel 4.13.3

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。

漏洞类型

操作系统漏洞

参考链接

https://www.debian.org/security/2017/dsa-3981 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=51aa68e7d57e3217192d88ce90fd5b8ef29ec94f

验证信息

未验证

报送时间

2017-09-22

发现时间

2017-09-22

漏洞附件

(无附件)

补丁链接

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=51aa68e7d57e3217192d88ce90fd5b8ef29ec94f

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34125

发布时间

2017-11-16

危害级别

低危

影响产品

Linux kernel 4.13.3

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。KVM（Kernel-based   Virtual Machine，基于内核的虚拟机）是用于其中的一种虚拟化基础设施。 Linux kernel 4.13.3及之前的版本中的KVM子系统存在安全漏洞。本地攻击者可利用该漏洞造成拒绝服务（断言失败、虚拟机监视器挂起或崩溃）。

漏洞类型

操作系统漏洞

参考链接

http://www.openwall.com/lists/oss-security/2017/09/15/4 
  http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=36ae3c0a36b7456432fedce38ae2f7bd3e01a563 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://www.kernel.org/

验证信息

未验证

报送时间

2017-09-22

发现时间

2017-09-22

漏洞附件

(无附件)

补丁链接

https://www.kernel.org/

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。KVM（Kernel-based   Virtual Machine，基于内核的虚拟机）是用于其中的一种虚拟化基础设施。 Linux kernel 4.13.3及之前的版本中的KVM子系统存在安全漏洞。本地攻击者可利用该漏洞造成拒绝服务（断言失败、虚拟机监视器挂起或崩溃）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34170

发布时间

2017-11-16

危害级别

高危

影响产品

Apache James 3.0,Apache James 2.2,Apache James 1.8.2,Apache   James 1.8.1

漏洞描述

Apache James是纯Java的SMTP和POP3邮件服务器及NNTP新闻服务器。 Apache James JMX服务器处理Java反序列化存在安全漏洞，允许攻击者利用漏洞构建特殊的请求，以应用程序上下文执行任意代码。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-12628 

漏洞解决方案

用户可参考如下厂商提供的安全补丁以修复该漏洞： https://www.apache.org/security/projects.html

验证信息

未验证

报送时间

2017-10-23

发现时间

2017-10-23

漏洞附件

(无附件)

补丁链接

https://www.apache.org/security/projects.html

补丁描述

Apache James是纯Java的SMTP和POP3邮件服务器及NNTP新闻服务器。 Apache James JMX服务器处理Java反序列化存在安全漏洞，允许攻击者利用漏洞构建特殊的请求，以应用程序上下文执行任意代码。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34130

发布时间

2017-11-16

危害级别

中危

影响产品

Linux Kernel

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel中存在本地内存破坏漏洞。本地攻击者可借助任意值利用该漏洞覆盖任意位置或造成拒绝服务。

漏洞类型

操作系统漏洞

参考链接

http://www.securityfocus.com/bid/101264 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5d176f751ee3

验证信息

未验证

报送时间

2017-10-30

发现时间

2017-10-30

漏洞附件

(无附件)

补丁链接

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=5d176f751ee3

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。 Linux kernel中存在本地内存破坏漏洞。本地攻击者可借助任意值利用该漏洞覆盖任意位置或造成拒绝服务。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34156

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1,Apple IOS <11.1

漏洞描述

Apple iOS和macOS Sierra都是美国苹果（Apple）公司的产品。Apple iOS是一套为移动设备所开发的操作系统；macOS Sierra是一套为Mac计算机所开发的专用操作系统。802.1X是其中的一个基于Client或Server的访问控制和认证协议组件。 Apple iOS 11之前的版本和macOS   High Sierra 10.13.1之前的版本中的802.1X组件存在安全漏洞。攻击者利用该漏洞触发802.1X组件的TLS 1.0协议产生未知影响。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple iOS和macOS Sierra都是美国苹果（Apple）公司的产品。Apple iOS是一套为移动设备所开发的操作系统；macOS Sierra是一套为Mac计算机所开发的专用操作系统。802.1X是其中的一个基于Client或Server的访问控制和认证协议组件。 Apple iOS 11之前的版本和macOS   High Sierra 10.13.1之前的版本中的802.1X组件存在安全漏洞。攻击者利用该漏洞触发802.1X组件的TLS 1.0协议产生未知影响。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34157

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。HFS是其中的一个文件服务器组件。   Apple macOS High Sierra 10.13.1之前的版本中的HFS组件存在任意代码执行漏洞。远程攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。HFS是其中的一个文件服务器组件。   Apple macOS High Sierra 10.13.1之前的版本中的HFS组件存在任意代码执行漏洞。远程攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34158

发布时间

2017-11-16

危害级别

中危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。ImageIO是其中的一个用来执行常见的图像I/O操作的静态方法。 Apple macOS High Sierra 10.13.1之前的版本中的ImageIO组件存在拒绝服务漏洞。远程攻击者可借助特制的图像利用该漏洞获取敏感信息或造成拒绝服务。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。ImageIO是其中的一个用来执行常见的图像I/O操作的静态方法。 Apple macOS High Sierra 10.13.1之前的版本中的ImageIO组件存在拒绝服务漏洞。远程攻击者可借助特制的图像利用该漏洞获取敏感信息或造成拒绝服务。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34150

发布时间

2017-11-16

危害级别

中危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。 目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34151

发布时间

2017-11-16

危害级别

中危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34152

发布时间

2017-11-16

危害级别

中危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34159

发布时间

2017-11-16

危害级别

中危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在安全绕过漏洞。攻击者可借助特制的应用程序利用该漏洞绕过内存读取限制，读取受限制的内存。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34160

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以内核权限执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以内核权限执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34161

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在任意代码执行漏洞。远程攻击者可借助特制的mach二进制文件利用该漏洞执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。Kernel是其中的一个内核组件。   Apple macOS High Sierra 10.13.1之前的版本中的Kernel组件存在任意代码执行漏洞。远程攻击者可借助特制的mach二进制文件利用该漏洞执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34162

发布时间

2017-11-16

危害级别

中危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。PCRE是其中的一个正则表达式函数库。   Apple macOS High Sierra 10.13.1之前的版本中的PCRE组件8.40之前的版本存在拒绝服务漏洞。远程攻击者可利用该漏洞造成拒绝服务（应用程序崩溃）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。PCRE是其中的一个正则表达式函数库。   Apple macOS High Sierra 10.13.1之前的版本中的PCRE组件8.40之前的版本存在拒绝服务漏洞。远程攻击者可利用该漏洞造成拒绝服务（应用程序崩溃）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34163

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS High Sierra <10.13.1,Apple macOS Server   <5.4

漏洞描述

Apple macOS Server和macOS High   Sierra都是美国苹果（Apple）公司的产品。Apple   macOS Server一款为macOS和iOS设计并提供团队协作、开发软件、托管网站等功能的服务器。macOS High Sierra是一套专为Mac计算机所开发的专用操作系统。Postfix component是其中的一个邮件传输代理组件。 Apple macOS Server 5.4之前的版本和macOS   High Sierra 10.13.1之前的版本和10.13之前的版本中的Postfix组件存在权限提升漏洞。攻击者利用该漏洞提升权限。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/en-us/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/en-us/HT208221

补丁描述

Apple macOS Server和macOS High   Sierra都是美国苹果（Apple）公司的产品。Apple   macOS Server一款为macOS和iOS设计并提供团队协作、开发软件、托管网站等功能的服务器。macOS High Sierra是一套专为Mac计算机所开发的专用操作系统。Postfix component是其中的一个邮件传输代理组件。 Apple macOS Server 5.4之前的版本和macOS   High Sierra 10.13.1之前的版本和10.13之前的版本中的Postfix组件存在权限提升漏洞。攻击者利用该漏洞提升权限。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34164

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。Sandbox是一套为操作系统提供能够限制应用使用系统资源的方法的沙盒系统。 Apple macOS High Sierra 10.13.1之前的版本中的Sandbox组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/en-us/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-01

发现时间

2017-11-01

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司为Mac计算机所开发的一套专用操作系统。Sandbox是一套为操作系统提供能够限制应用使用系统资源的方法的沙盒系统。 Apple macOS High Sierra 10.13.1之前的版本中的Sandbox组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34126

发布时间

2017-11-16

危害级别

高危

影响产品

Linux kernel <4.13.10

漏洞描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。KEYS是其中的一个返回匹配模式的所有键的子系统。 Linux kernel 4.13.10之前的版本中的KEYS子系统存在安全漏洞。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。

漏洞类型

操作系统漏洞

参考链接

http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=363b02dab09b3226f3bd1420dad9c72b79a42a76 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：   https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.13.10

验证信息

未验证

报送时间

2017-11-03

发现时间

2017-11-03

漏洞附件

(无附件)

补丁链接

https://www.kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.13.10

补丁描述

Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。KEYS是其中的一个返回匹配模式的所有键的子系统。 Linux kernel 4.13.10之前的版本中的KEYS子系统存在安全漏洞。本地攻击者可借助特制的系统调用利用该漏洞造成拒绝服务。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34031

发布时间

2017-11-16

危害级别

高危

影响产品

Microsoft Office

漏洞描述

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。 Microsoft office负责在文档中插入和编辑公式   (OLE 对象) 的 MS 办公室组件EQNEDT32.EXE中存在内存破坏漏洞。利用此漏洞需要使用受影响的微软office 或 Microsoft 写字板程序打开恶意文件，未经身份验证的远程攻击者可以在目标系统上执行恶意代码，远程安装恶意软件，进而可能控制整个操作系统。

漏洞类型

应用程序漏洞

参考链接

https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html 

漏洞解决方案

用户可参考如下安全公告获取补丁以修复该漏洞：   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

补丁描述

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。 Microsoft office负责在文档中插入和编辑公式   (OLE 对象) 的 MS 办公室组件EQNEDT32.EXE中存在内存破坏漏洞。利用此漏洞需要使用受影响的微软office 或 Microsoft 写字板程序打开恶意文件，未经身份验证的远程攻击者可以在目标系统上执行恶意代码，远程安装恶意软件，进而可能控制整个操作系统。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34033

发布时间

2017-11-16

危害级别

低危

影响产品

Microsoft Windows Server 2008 R2 SP1,Microsoft Windows   Server 2008 SP2,Microsoft Windows 7 SP1,Microsoft Windows Windows Server 2012   ,Microsoft Windows 8.1 ,Microsoft Windows Server 2012 R2,Microsoft Windows RT   8.1,Microsoft Windows 10 Gold ,Microsoft Windows 10 1511,Microsoft Windows 10   1607,Microsoft Windows Server 2016 ,Microsoft Windows 10 1703,Microsoft   Windows 10 1709

漏洞描述

Microsoft Windows是流行的计算机操作系统。   Microsoft Windows内核存在信息泄露漏洞，本地攻击者可以利用该漏洞获取可能导致进一步攻击的敏感信息。

漏洞类型

操作系统漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-11853 
  http://www.securityfocus.com/bid/101764 

漏洞解决方案

目前厂商已经发布了升级补丁已修复这个安全问题，请到厂商的主页下载：   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11853

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11853

补丁描述

Microsoft Windows是流行的计算机操作系统。   Microsoft Windows内核存在信息泄露漏洞，本地攻击者可以利用该漏洞获取可能导致进一步攻击的敏感信息。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34032

发布时间

2017-11-16

危害级别

中危

影响产品

Microsoft Windows Server 2008 R2 SP1,Microsoft Windows   Server 2008 SP2,Microsoft Windows 7 SP1,Microsoft Windows Windows Server 2012

漏洞描述

Microsoft Windows是流行的计算机操作系统。   Microsoft Windows存在信息泄露漏洞，攻击者可以利用漏洞获取敏感信息，从而有助于发起进一步攻击。

漏洞类型

操作系统漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-11832 
  http://www.securityfocus.com/bid/101726 

漏洞解决方案

目前厂商已经发布了升级补丁已修复这个安全问题，请到厂商的主页下载：   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11832

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11832

补丁描述

Microsoft Windows是流行的计算机操作系统。   Microsoft Windows存在信息泄露漏洞，攻击者可以利用漏洞获取敏感信息，从而有助于发起进一步攻击。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34034

发布时间

2017-11-16

危害级别

中危

影响产品

Microsoft Excel 2016 ,Microsoft Excel 2007 Service Pack   3,Microsoft Excel 2010 Service Pack 2,Microsoft Excel 2013 Service Pack   1,Microsoft Excel 2013 RT Service Pack 1,Microsoft Office Compatibility Pack   Service Pack 3,Microsoft Excel Viewer 2007 Service Pack 3,Microsoft Excel   2016 for Mac

漏洞描述

Microsoft Excel是一款微软开发的电子表格处理程序。 Microsoft Excel存在安全绕过漏洞，攻击者可利用漏洞绕过某些安全限制，并通过利用应用程序中的另一个漏洞执行任意代码。

漏洞类型

应用程序漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2017-11877 
  http://www.securityfocus.com/bid/101747 

漏洞解决方案

目前厂商已经发布了升级补丁已修复这个安全问题，请到厂商的主页下载：   https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11877

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11877

补丁描述

Microsoft Excel是一款微软开发的电子表格处理程序。 Microsoft Excel存在安全绕过漏洞，攻击者可利用漏洞绕过某些安全限制，并通过利用应用程序中的另一个漏洞执行任意代码。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34131

发布时间

2017-11-16

危害级别

中危

影响产品

Linux Kernel <=4.9-rc1

漏洞描述

Linux Kernel是Linux操作系统的内核。 Linux kernel在[legousbtower]驱动程序存在本地权限提升漏洞。攻击者利用漏洞可造成空指针间接引用，权限提升。

漏洞类型

操作系统漏洞

参考链接

http://www.securityfocus.com/bid/101790 

漏洞解决方案

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： https://bugzilla.redhat.com/show_bug.cgi?id=1505905   https://github.com/torvalds/linux/commit/2fae9e5a7babada041e2e161699ade2447a01989

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-14

漏洞附件

(无附件)

补丁链接

https://bugzilla.redhat.com/show_bug.cgi?id=1505905   https://github.com/torvalds/linux/commit/2fae9e5a7babada041e2e161699ade2447a01989

补丁描述

Linux Kernel是Linux操作系统的内核。 Linux kernel在[legousbtower]驱动程序存在本地权限提升漏洞。攻击者利用漏洞可造成空指针间接引用，权限提升。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34153

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。CFNetwork是其中的一个网络协议库。 Apple macOS High Sierra 10.13.1之前的版本中的CFNetwork组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/zh-cn/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。CFNetwork是其中的一个网络协议库。 Apple macOS High Sierra 10.13.1之前的版本中的CFNetwork组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34153

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。CFNetwork是其中的一个网络协议库。 Apple macOS High Sierra 10.13.1之前的版本中的CFNetwork组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/zh-cn/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。CFNetwork是其中的一个网络协议库。 Apple macOS High Sierra 10.13.1之前的版本中的CFNetwork组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

CNVD-ID

CNVD-2017-34154

发布时间

2017-11-16

危害级别

高危

影响产品

Apple macOS <10.13.1

漏洞描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。CFNetwork是其中的一个网络协议库。 Apple macOS High Sierra 10.13.1之前的版本中的CFNetwork组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。

漏洞类型

操作系统漏洞

参考链接

https://support.apple.com/zh-cn/HT208221 

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://support.apple.com/zh-cn/HT208221

验证信息

未验证

报送时间

2017-11-16

发现时间

2017-11-16

漏洞附件

(无附件)

补丁链接

https://support.apple.com/zh-cn/HT208221

补丁描述

Apple macOS High Sierra是美国苹果（Apple）公司的一套专为Mac计算机所开发的专用操作系统。CFNetwork是其中的一个网络协议库。 Apple macOS High Sierra 10.13.1之前的版本中的CFNetwork组件存在任意代码执行漏洞。攻击者可借助特制的应用程序利用该漏洞以系统权限执行任意代码（内存破坏）。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。