登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于2013年9月增值电信企业漏洞风险的情况通报

2013-10-24 17:38:40
安全公告编号:CNTA-2013-0033

2013年9月,国家信息安全漏洞共享平台(CNVD)对增值电信企业存在的漏洞风险进行跟踪监测,并联合CNVD合作单位(WOOYUN网站)接收涉及境内增值电信企业的漏洞事件报告。现将相关情况通报如下:

一、重点软硬件漏洞收录情况

9月18日,Android系统WebView控件被披露存在任意命令执行漏洞(CNVD-2013-12829)导致一些Android平台应用软件衍生二次漏洞危害,CNVD评估认为可被利用发起手机挂马攻击。根据国内漏洞报送者近期的报送情况,国内许多浏览器、微博、微信等拥有较大用户群体的知名APP软件均受到漏洞的影响。CNVD已发布紧急漏洞预警通报,提醒各APP开发者及用户注意加固软件和防范手机挂马攻击。详情可参见CNVD网站移动互联网行业漏洞收录列表: http://www.cnvd.org.cn/industry/flawList/2

本月,漏洞报送者还报告了多个应用软件存在DLL劫持风险的情况。CNVD在skype客户端、中国网络电视台CBox客户端、搜狐影音客户端、百度音乐2013版、新浪视频、新浪UC客户端、优酷PC客户端等软件上确认存在所述风险情况。同时,CNVD判定上述风险需要一定的利用前提条件,暂不构成大规模攻击威胁。根据测试结果,CNVD向新浪、搜狐、百度等公司通报了风险情况,建议加强防护措施。

二、增值企业信息系统漏洞风险事件

根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告,对涉及阿里巴巴、百度、人人网、搜狐、腾讯、网易、新浪等7家单位的漏洞风险事件进行了不完全统计。截至9月27日,共收录93起与上述单位相关的漏洞风险事件。上述漏洞风险主要存在于增值电信企业自营业务平台,如:博客、微博、邮件系统以及相关软件产品,如:浏览器、安全防护软件、客户端软件等,构成的威胁有信息泄露、权限绕过等。

附表1和附表2为2013年9月增值企业漏洞风险事件详细列表和按单位统计情况。


附表1  2013年9月增值企业漏洞风险事件详细列表

通报日期

漏洞名称

风险等级

2013/9/25

百度手机浏览器缺陷可导致用户敏感数据泄漏

2013/9/23

百度浏览器5.0正式版除以零异常永久性拒绝服务

2013/9/23

百度某接口可自定义发送免费短信

2013/9/18

百度账号用户查看绑定邮箱手机和ip

2013/9/18

百度某处设计不当泄露任意用户手机号

2013/9/18

西陆网(xilu.com)利用百度首页新闻劫持用户本地路由器DNS

2013/9/17

百度杀毒任意加载bootkit

2013/9/16

百度百科奇葩的设计缺陷权限绕过(获取VIP部分特权)

2013/9/16

百度百科新功能存储型xss漏洞

2013/9/16

百度旅游某功能越权

2013/9/13

百度知道某接口未授权访问导致专家密保邮箱/手机/QQ等信息泄露

2013/9/13

百度贴吧某功能CSRF漏洞outoken参数问题

2013/9/13

查看百度贴吧设置隐藏帖子动态的人的动态

2013/9/13

我是怎样参加百度的业务培训的

2013/9/12

百度某分站反射型xss漏洞

2013/9/10

百度百科XSS漏洞一枚可窃取COOKIE

2013/9/10

5绕百度杀毒任意加载驱动(POC)

2013/9/10

广东地区使用百度统计的网站弹出非法博彩信息

2013/9/10

百度贴吧某功能CSRF漏洞一处

2013/9/10

百度影音最新版本多处DLL劫持

2013/9/11

登陆百度后绕过密保邮箱安全验证重置邮箱.

2013/9/6

百度浏览器5.0正式版(2.200.0.41563)拒绝服务漏洞

2013/9/6

再再再绕过百度杀毒任意执行代码(POC)

2013/9/6

百度浏览器2.200.0.41563伪造任意网站钓鱼欺诈漏洞

2013/9/5

百度安卓客户端远程命令执行漏洞(共5处)

2013/9/4

百度浏览器安卓最新版远程命令执行漏洞

2013/9/4

再再绕百度杀毒任意加载驱动(POC)

2013/9/3

绕过百度杀毒任意加载驱动

2013/9/2

百度id查看完整绑定手机

2013/9/2

百度id查看完整绑定邮箱

2013/9/2

应用层全面绕过百度杀毒任意执行代码(poc)

2013/9/26

新浪某分站SQL注入漏洞一枚

2013/9/25

新浪某站sql注射(设计数百个数据表)

2013/9/25

新浪分站被挂赌博黑链(疑似发布权限泄漏)

2013/9/23

新浪某分站sql盲注导致管理员信息泄露

2013/9/22

新浪某分站sql盲注漏洞可读库

2013/9/17

新浪微人脉存储型XSS漏洞(长度限制绕过)与越权双剑合并

2013/9/15

新浪数码论坛存储型XSS,可升级蠕虫(钓微博号不是梦)

2013/9/12

新浪博客存储型xss(过滤器绕过)

2013/9/4

新浪某分站存储型xss漏洞

2013/9/2

新浪另类CSRF蠕虫放大危害

2013/9/1

我是如何黑掉新浪博客的(可钓鱼)

2013/9/24

在QQ2013正式版SP1(7979)中的远程拒绝服务问题(只需发送一个URL)

2013/9/24

腾讯财经网被植入赌博等非法信息(疑似文章发布权限泄漏)

2013/9/22

绕过腾讯电脑安全管家任意写注册表(POC)

2013/9/22

一次失败的漫游腾讯内部网络过程

2013/9/18

对微信Android版的交互协议和加密模式的进一步分析

2013/9/18

微信一定条件会泄露密码信息(国外已经披露)

2013/9/17

腾讯微博存储型XSS漏洞(利用条件有点苛刻)

2013/9/17

QQ邮箱鸡肋存储型XSS漏洞的完美利用

2013/9/14

高级别伪装网址:在QQ、微信、旺旺等聊天框里插入类似<a href="“>的跳转链接

2013/9/7

微博上正在疯传的那个QQ客户端聊天就中的XSS(可登陆和控制他人账号)

2013/9/5

QQ浏览器安卓最新版命令执行及拒绝服务漏洞(拒绝服务只能重装)

2013/9/4

QQ浏览器安卓HD最新版远程命令执行漏洞

2013/9/4

腾讯微博手机客户端安卓最新版远程命令执行

2013/9/4

QQ安卓最新版远程命令执行(可远程种植后门)

2013/9/4

微信android客户端最新版远程代码执行(可远程种植后门控制用户)

2013/9/27

搜狐某站sql注入导致数万用户信息泄露

2013/9/25

搜狐旗下中国人校友录某系统弱口令

2013/9/22

搜狐邮箱存储型XSS漏洞

2013/9/21

搜狐新闻存储型xss

2013/9/18

搜狐微博可csrf加关注

2013/9/17

搜狐某分站SQL注入漏洞之二

2013/9/16

搜狐某站任意短信内容发送及短信ddos(附POC)

2013/9/16

搜狐某分站SQL盲注漏洞

2013/9/15

搜狐分站旁注得shell

2013/9/12

数据库注入以及绝对路径等信息泄露

2013/9/9

搜狐邮箱一处平行权限漏洞

2013/9/8

搜狐相册某功能平行权限漏洞

2013/9/8

搜狐微博一处鸡肋越权

2013/9/8

搜狐微博存储XSS的利用

2013/9/8

搜狐某分站严重逻辑错误刷钱钱了

2013/9/8

搜狐博客一处越权漏洞

2013/9/7

搜狐白社会任意用户信息修改漏洞

2013/9/11

搜狐汽车XSS与越权双剑合并(让鸡肋xss发挥作用)

2013/9/10

搜狐博客储存XSS再一枚

2013/9/7

搜狐视频一处越权漏洞

2013/9/7

搜狐原产小说网update型SQL注入

2013/9/5

搜狐博客CSS样式可控(可钓鱼)

2013/9/23

阿里云邮箱存储型XSS漏洞

2013/9/16

阿里巴巴旗下某平台sql注入漏洞(可以脱库)

2013/9/13

淘宝浏览器多个DLL劫持漏洞

2013/9/11

阿里巴巴某分站sql注入漏洞一枚

2013/9/5

淘宝某业务存储型插爱死

2013/9/2

阿里云提现操作某处参数未检查引起的个小漏洞

2013/9/2

本地命令执行-阿里旺旺2013

2013/9/22

人人网某分站SQL注入漏洞一枚

2013/9/13

人人网某功能平行权限漏洞(可毁他人形象)

2013/9/10

人人网无视隐私保护向任意用户推送状态

2013/9/2

人人网三个XSS可以盗取cookie并成功登录

2013/9/11

网易视频一处平行权限操作漏洞可影响其他用户

2013/9/6

网易云音乐存在CSRF蠕虫的危险

2013/9/3

易信组件存在信息泄露漏洞可导致恶意APP获取其私有目录数据(非root环境)

 

附表2增值电信企业漏洞风险事件统计

(2013年9月)

企业名称

事件数量

阿里巴巴

7

百度

31

人人网

4

搜狐

22

腾讯

15

网易

3

新浪

11

总计

93

 


(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论