免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Linux kernel输入验证错误漏洞(CVE-2022-0185)
一、漏洞描述:
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 存在输入验证错误漏洞,该漏洞源于在 Linux kernel 的 Filesystem Context 中的 legacy_parse_param 函数验证提供的参数长度的方式中发现了一个基于堆的缓冲区溢出缺陷。 非特权(在启用非特权用户命名空间的情况下,否则需要命名空间的 CAP_SYS_ADMIN 特权)本地用户能够打开不支持文件系统上下文 API 的文件系统(因此回退到遗留处理)可以使用此缺陷来提升他们在系统上的权限。
二、风险等级:
高危
三、影响范围:
Linux kernel version = 5.1-rc1/5.4.173/5.10.93/5.15.1
四、修复建议:
将Linux内核升级到5.16.2或更高版本,补丁获取链接:
https://tracker.debian.org/pkg/linux
2 Dw1 apkleaks参数注入漏洞(CVE-2021-21386)
一、漏洞描述:
Dw1 apkleaks是 Dw1开源的一个应用程序。用于扫描APK文件中的URI,端点和机密。
APKLeaks prior to v2.0.3 存在安全漏洞,攻击者可利用该漏洞可以包含允许执行意外命令或代码。
二、风险等级:
高危
三、影响范围:
APKLeaks prior v2.0.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/dwisiswant0/a ... 6876d7532301b13a382
3 Apple macOS缓冲区错误漏洞(CVE-2022-22587)
一、漏洞描述:
Apple macOS是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统。
Apple macOS Monterey 12.2存在缓冲区错误漏洞,该漏洞源于IOMobileFrameBuffer子系统中的边界错误。攻击者可利用该漏洞触发缓冲区溢出,并使用内核特权执行任意代码。
二、风险等级:
高危
三、影响范围:
Apple macOS Monterey < 12.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.apple.com/en-us/HT213054
4 Apple Safari信息泄露漏洞(CVE-2022-22594)
一、漏洞描述:
Apple Safari是美国苹果(Apple)公司的一款Web浏览器,是Mac OS X和iOS操作系统附带的默认浏览器。
Apple Safari 存在信息泄露漏洞,该漏洞源于WebKit存储中的IndexDB API存在跨源问题。远程攻击者可利用该漏洞可以欺骗受害者访问专门设计的网站,并获得访问由WebKit本地存储的敏感信息。该漏洞允许远程攻击者可利用该漏洞访问潜在的敏感信息。
二、风险等级:
中危
三、影响范围:
Apple Safari < 15.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.apple.com/en-us/HT213054 |
发表于 2022-1-28 23:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡