漏洞风险提示（20231116）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Micrium uC-HTTP 缓冲区错误漏洞(CVE-2023-28379)
一、漏洞描述：
       
        Micrium uC-HTTP是美国Micrium公司的一款为设备提供TCP/IP功能的软件。该软件专为嵌入式应用程序而设计的紧凑，可靠，高性能的TCP / IP协议栈，具有对IPv4和IPv6的双重支持。
        Micrium uC-HTTP v3.01.01版本存在缓冲区错误漏洞，该漏洞源于HTTP Server的form boundary功能存在内存损坏漏洞。
二、风险等级：
        高危
三、影响范围：
        Micrium uC-HTTP v3.01.01
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/weston-embedded/uC-HTTP

---

2 Zoom Rooms 后置链接漏洞(CVE-2023-43590)
一、漏洞描述：
       
        Zoom Rooms是美国Zoom公司的一个基于软件的会议系统。允许在固定终端上进行网络会议的系统，类似于传统的视频会议系统。
        Zoom Rooms 5.16.0 版本之前存在后置链接漏洞，该漏洞源于不当的链接跳转。可以允许经过身份验证的用户通过本地访问进行权限升级。
二、风险等级：
        高危
三、影响范围：
        Zoom Rooms <= 5.16.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://explore.zoom.us/en/trust/security/security-bulletin/

---

3 Google Chrome 安全漏洞(CVE-2023-6112)
一、漏洞描述：
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
        Google Chrome 119.0.6045.159之前版本存在安全漏洞，该漏洞源于Navigation存在释放后重用漏洞。
二、风险等级：
        高危
三、影响范围：
        Google Chrome < 119.0.6045.159
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromium.googlesource.co ... =fuller&n=10000

---

4 yt-dlp 环境问题漏洞(CVE-2023-46121)
一、漏洞描述：
       
        yt-dlp是基于现在不活动的youtube-dlc 的youtube-dl分支。
        yt-dlp 2023.11.14之前版本存在环境问题漏洞，该漏洞源于可以为任意URL的请求设置任意代理，允许攻击者对HTTP会话发出的请求进行中间人攻击，从而导致cookie泄露。
二、风险等级：
        高危
三、影响范围：
        yt-dlp < 2023.11.14
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/yt-dlp/yt-dlp ... GHSA-3ch3-jhc6-5r8x

---