绿盟科技网络安全威胁周报2017.19 关注Microsoft恶意软件防护引擎远程执行代码漏洞CVE-2017-0290...

绿盟科技发布了本周安全通告，周报编号NSFOCUS-17-19，绿盟科技漏洞库本周新增75条，其中高危61条。本次周报建议大家关注 Microsoft恶意软件防护引擎远程执行代码漏洞 。目前，微软官方已经提供了升级补丁，请受影响的用户尽快下载升级更新。

焦点漏洞

Microsoft恶意软件防护引擎远程执行代码漏洞

NSFOCUS ID 36632
CVE ID CVE-2017-0290

受影响版本

Microsoft恶意软件保护引擎版本 <= 1.1.13701.0

漏洞点评

Microsoft恶意软件保护引擎（mpengine.dll）可为防病毒和反间谍软件客户端提供扫描、监测和清除功能。Microsoft恶意软件保护引擎在扫描特殊构造的文件时存在远程代码执行漏洞，成功利用后可使攻击者在LocalSystem帐户安全上下文中执行任意代码，控制受影响系统。目前，微软官方已经提供了升级补丁，请受影响的用户尽快下载升级更新。

（数据来源：绿盟科技安全研究部&产品规则组）

互联网安全态势

CVE统计

最近一周CVE公告总数与前期相比小幅上扬。值得关注的高危漏洞如下：

这周需要重点关注Wannacry Ransomware 的情况：

http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/

威胁信息回顾

Google 0Day项目又披露Windows 0Day漏洞
- google 0Day项目的安全研究人员在微软的 windows 操作系统中发现了另一个关键的远程代码执行 (rce) 漏洞，并表示这个问题非常严重。微软还没有回应最新的反馈, 但按照惯例9号是补丁日，希望其中能包含这个漏洞的补丁。
- http://toutiao.secjia.com/google-0day-project-find-windows-0day
Proton木马入侵视频格式转换HandBrake服务器
- Mac上流行的开源视频代码转换器应用HandBrake，可能会感染知名的远程访问木马（RAT）。如果您下载的时间是在2017年5月2日至6日，你的Mac电脑有50%的几率感染Proton木马。
- http://toutiao.secjia.com/proton-trojan-hacked-handbrake-server
Intel远程管理技术AMT出现本地及远程提权漏洞CVE-2017-5689
- 当地时间5月1日（北京时间5月2日上午），英特尔（Intel）官方发布安全公告，公告表明Intel旗下产品英特尔主动管理技术（AMT），英特尔标准可管理性（ISM）和英特尔小型企业技术版本中的固件版本6.x，7.x，8.x 9.x，10 .x，11.0，11.5和11.6存在提权漏洞，可以使无特权攻击者获取这些产品的高级管理功能权限，CVE编号：CVE-2017-5689。普通用户基于Intel的PC不受影响。
- http://toutiao.secjia.com/intel-amt-cve-2017-5689
Google Won’t Patch A Critical Android Flaw Before ‘Android O’ Release
- Millions of Android smartphones are at serious risk of “screen hijack” vulnerability that allows hackers to steal your passwords, bank details, as well as helps ransomware apps extort money from victims.
- http://thehackernews.com/2017/05/android-permissions-vulnerability.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
Microsoft Issues Patches for Another Four Zero-Day Vulnerabilities
- As part of this month’s Patch Tuesday, Microsoft has released security patches for a total of 55 vulnerabilities across its products, including fixes for four zero-day vulnerabilities being exploited in the wild.
- http://thehackernews.com/2017/05/patch-windows-zero-days.html
Beware! Built-in Keylogger Discovered In Several HP Laptop Models
- While examining Windows Active Domain infrastructures, security researchers from the Switzerland-based security firm Modzero have discovered a built-in keylogger in an HP audio driver that spy on your all keystrokes.
- http://thehackernews.com/2017/05/hp-audio-driver-laptop-keylogger.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

（数据来源：绿盟科技威胁情报与网络安全实验室收集整理）

绿盟科技漏洞研究

绿盟科技漏洞库新增75条

截止到2017年5月12日，绿盟科技漏洞库已收录总条目达到36697条。本周新增漏洞记录75条，其中高危漏洞数量61条，中危漏洞数量10条，低危漏洞数量4条。

Foxit Reader/PhantomPDF 信息泄露漏洞(CVE-2017-8454)
- 危险等级:中
- BID:98320
- cve编号:CVE-2017-8454
Citrix XenMobile Server 中间人攻击漏洞(CVE-2017-6877)
- 危险等级:中
- cve编号:CVE-2017-6877
Trend Micro OfficeScan跨站脚本漏洞(CVE-2017-8801)
- 危险等级:中
- cve编号:CVE-2017-8801
GNU C Library xdr_bytes/xdr_string函数拒绝服务漏洞(CVE-2017-8804)
- 危险等级:中
- cve编号:CVE-2017-8804
Foxit Reader/PhantomPDF 信息泄露漏洞(CVE-2017-8455)
- 危险等级:中
- BID:98319
- cve编号:CVE-2017-8455
PCRE ‘pcre2_match.c’栈缓冲区溢出漏洞(CVE-2017-8399)
- 危险等级:中
- BID:98315
- cve编号:CVE-2017-8399
Foxit Reader/PhantomPDF 信息泄露漏洞(CVE-2017-8453)
- 危险等级:中
- BID:98317
- cve编号:CVE-2017-8453
PCRE2 pcre2test.c拒绝服务漏洞(CVE-2017-8786)
- 危险等级:低
- cve编号:CVE-2017-8786
ISC BIND 远程拒绝服务漏洞(CVE-2017-3139)
- 危险等级:低
- BID:98334
- cve编号:CVE-2017-3139
Microsoft Malware Protection Engine脚本引擎内存破坏漏洞(CVE-2017-0290)
- 危险等级:高
- cve编号:CVE-2017-0290
EMC ResourcePak Base本地权限提升漏洞(CVE-2017-4982)
- 危险等级:中
- BID:98049
- cve编号:CVE-2017-4982
Microsoft Internet Explorer 安全限制绕过漏洞(CVE-2017-0064)
- 危险等级:高
- BID:98121
- cve编号:CVE-2017-0064
Microsoft Windows拒绝服务漏洞(CVE-2017-0171)
- 危险等级:高
- BID:98097
- cve编号:CVE-2017-0171
Microsoft DirectX Graphics Kernel本地权限提升漏洞(CVE-2017-0077)
- 危险等级:高
- BID:98114
- cve编号:CVE-2017-0077
Microsoft Windows ActiveX Control本地信息泄露漏洞(CVE-2017-0242)
- 危险等级:高
- BID:98275
- cve编号:CVE-2017-0242
Microsoft Edge远程内存破坏漏洞(CVE-2017-0235)
- 危险等级:高
- BID:98230
- cve编号:CVE-2017-0235
Microsoft Edge远程内存破坏漏洞(CVE-2017-0236)
- 危险等级:高
- BID:98234
- cve编号:CVE-2017-0236
Microsoft Internet Explorer/Edge远程内存破坏漏洞(CVE-2017-0238)
- 危险等级:高
- BID:98237
- cve编号:CVE-2017-0238
Microsoft Edge远程内存破坏漏洞(CVE-2017-0240)
- 危险等级:高
- BID:98203
- cve编号:CVE-2017-0240
Microsoft Edge远程内存破坏漏洞(CVE-2017-0241)
- 危险等级:高
- BID:98208
- cve编号:CVE-2017-0241
Microsoft Edge远程权限提升漏洞(CVE-2017-0233)
- 危险等级:高
- BID:98179
- cve编号:CVE-2017-0233
Microsoft Edge远程权限提升漏洞(CVE-2017-0234)
- 危险等级:高
- BID:98229
- cve编号:CVE-2017-0234
Microsoft Internet Explorer/Edge欺骗漏洞(CVE-2017-0231)
- 危险等级:高
- BID:98173
- cve编号:CVE-2017-0231
Microsoft Edge远程内存破坏漏洞(CVE-2017-0230)
- 危险等级:高
- BID:98222
- cve编号:CVE-2017-0230
Microsoft Edge远程内存破坏漏洞(CVE-2017-0229)
- 危险等级:高
- BID:98217
- cve编号:CVE-2017-0229
Microsoft Internet Explorer/Edge远程内存破坏漏洞(CVE-2017-0228)
- 危险等级:高
- BID:98164
- cve编号:CVE-2017-0228
Microsoft Edge远程内存破坏漏洞(CVE-2017-0227)
- 危险等级:高
- BID:98281
- cve编号:CVE-2017-0227
Microsoft Edge远程内存破坏漏洞(CVE-2017-0221)
- 危险等级:高
- BID:98147
- cve编号:CVE-2017-0221
Microsoft Internet Explorer远程内存破坏漏洞(CVE-2017-0222)
- 危险等级:高
- BID:98127
- cve编号:CVE-2017-0222
Microsoft Edge远程内存破坏漏洞(CVE-2017-0224)
- 危险等级:高
- BID:98214
- cve编号:CVE-2017-0224
Microsoft Internet Explorer远程内存破坏漏洞(CVE-2017-0226)
- 危险等级:高
- BID:98139
- cve编号:CVE-2017-0226
Microsoft Windows Kernel本地信息泄露漏洞(CVE-2017-0220)
- 危险等级:高
- BID:98111
- cve编号:CVE-2017-0220
Microsoft Windows COM本地权限提升漏洞(CVE-2017-0213)
- 危险等级:高
- BID:98102
- cve编号:CVE-2017-0213
Microsoft Windows COM本地权限提升漏洞(CVE-2017-0214)
- 危险等级:高
- BID:98103
- cve编号:CVE-2017-0214
Microsoft Windows Hyper-V远程权限提升漏洞(CVE-2017-0212)
- 危险等级:高
- BID:98099
- cve编号:CVE-2017-0212
Microsoft Windows Kernel本地信息泄露漏洞(CVE-2017-0175)
- 危险等级:高
- BID:98110
- cve编号:CVE-2017-0175
Microsoft Windows Graphics Device Interface本地信息泄露漏洞(CVE-2017-0190)
- 危险等级:高
- BID:98298
- cve编号:CVE-2017-0190
Microsoft Windows Kernel ‘Win32k.sys’本地信息泄露漏洞(CVE-2017-0245)
- 危险等级:高
- BID:98115
- cve编号:CVE-2017-0245
Microsoft .NET Framework安全限制绕过漏洞(CVE-2017-0248)
- 危险等级:中
- BID:98117
- cve编号:CVE-2017-0248
Microsoft Windows Kernel ‘Win32k.sys’本地权限提升漏洞(CVE-2017-0246)
- 危险等级:高
- BID:98108
- cve编号:CVE-2017-0246
Microsoft Windows Kernel本地权限提升漏洞(CVE-2017-0244)
- 危险等级:高
- BID:98109
- cve编号:CVE-2017-0244
Microsoft Office远程代码执行漏洞(CVE-2017-0281)
- 危险等级:高
- BID:98297
- cve编号:CVE-2017-0281
Microsoft Windows SMB Server 远程代码执行漏洞(CVE-2017-0279)
- 危险等级:高
- BID:98272
- cve编号:CVE-2017-0279
Microsoft Windows SMB Server 远程拒绝服务漏洞(CVE-2017-0280)
- 危险等级:高
- BID:98273
- cve编号:CVE-2017-0280
Microsoft Windows SMB Server 远程代码执行漏洞(CVE-2017-0278)
- 危险等级:高
- BID:98271
- cve编号:CVE-2017-0278
Microsoft Windows SMB Server 远程拒绝服务漏洞(CVE-2017-0273)
- 危险等级:高
- BID:98274
- cve编号:CVE-2017-0273
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0274)
- 危险等级:高
- BID:98266
- cve编号:CVE-2017-0274
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0275)
- 危险等级:高
- BID:98267
- cve编号:CVE-2017-0275
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0276)
- 危险等级:高
- BID:98268
- cve编号:CVE-2017-0276
Microsoft Windows SMB Server 远程代码执行漏洞(CVE-2017-0277)
- 危险等级:高
- BID:98270
- cve编号:CVE-2017-0277
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0271)
- 危险等级:高
- BID:98265
- cve编号:CVE-2017-0271
Microsoft Windows SMB Server 远程代码执行漏洞(CVE-2017-0272)
- 危险等级:高
- BID:98260
- cve编号:CVE-2017-0272
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0270)
- 危险等级:高
- BID:98264
- cve编号:CVE-2017-0270
Microsoft Windows SMB Server 远程拒绝服务漏洞(CVE-2017-0269)
- 危险等级:高
- BID:98263
- cve编号:CVE-2017-0269
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0268)
- 危险等级:高
- BID:98261
- cve编号:CVE-2017-0268
Microsoft Windows SMB Server 信息泄露漏洞(CVE-2017-0267)
- 危险等级:高
- BID:98259
- cve编号:CVE-2017-0267
Microsoft Office内存破坏漏洞(CVE-2017-0254)
- 危险等级:高
- BID:98101
- cve编号:CVE-2017-0254
Microsoft SharePoint 跨站脚本漏洞(CVE-2017-0255)
- 危险等级:高
- BID:98107
- cve编号:CVE-2017-0255
Microsoft Office远程代码执行漏洞(CVE-2017-0262)
- 危险等级:高
- BID:98279
- cve编号:CVE-2017-0262
Microsoft Windows Kernel ‘Win32k.sys’本地权限提升漏洞(CVE-2017-0263)
- 危险等级:高
- BID:98258
- cve编号:CVE-2017-0263
Microsoft Office内存破坏漏洞(CVE-2017-0264)
- 危险等级:高
- BID:98282
- cve编号:CVE-2017-0264
Microsoft Office内存破坏漏洞(CVE-2017-0265)
- 危险等级:高
- BID:98285
- cve编号:CVE-2017-0265
Microsoft Office远程代码执行漏洞(CVE-2017-0261)
- 危险等级:高
- BID:98104
- cve编号:CVE-2017-0261
Microsoft Edge远程代码执行漏洞(CVE-2017-0266)
- 危险等级:高
- BID:98276
- cve编号:CVE-2017-0266
Microsoft Windows Kernel本地信息泄露漏洞(CVE-2017-0258)
- 危险等级:高
- BID:98112
- cve编号:CVE-2017-0258
Microsoft Windows Kernel本地信息泄露漏洞(CVE-2017-0259)
- 危险等级:高
- BID:98113
- cve编号:CVE-2017-0259
Adobe Flash Player 多个内存破坏漏洞(CVE-2017-3070)
- 危险等级:高
- BID:98349
- cve编号:CVE-2017-3070
Adobe Flash Player 多个内存破坏漏洞(CVE-2017-3073)
- 危险等级:高
- BID:98349
- cve编号:CVE-2017-3073
Adobe Flash Player 多个内存破坏漏洞(CVE-2017-3074)
- 危险等级:高
- BID:98349
- cve编号:CVE-2017-3074
Adobe Flash Player 多个内存破坏漏洞(CVE-2017-3072)
- 危险等级:高
- BID:98349
- cve编号:CVE-2017-3072
Adobe Flash Player 多个内存破坏漏洞(CVE-2017-3068)
- 危险等级:高
- BID:98349
- cve编号:CVE-2017-3068
Adobe Flash Player 多个内存破坏漏洞(CVE-2017-3069)
- 危险等级:高
- BID:98349
- cve编号:CVE-2017-3069
EMC RSA Adaptive Authentication (On Premise) 跨站脚本漏洞(CVE-2017-4978)
- 危险等级:低
- BID:98392
- cve编号:CVE-2017-4978
Mozilla Network Security Services (NSS)内存破坏漏洞(CVE-2017-5461)
- 危险等级:中
- BID:98050
- cve编号:CVE-2017-5461
Linux kernel KEYS子系统拒绝服务漏洞(CVE-2017-7472)
- 危险等级:低
- cve编号:CVE-2017-7472

（数据来源：绿盟科技安全研究部&产品规则组）

原文发布时间：2017年5月15日

本文由：绿盟科技发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/nsfocus-internet-security-threats-weekly-201719

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站