【網(wǎng)絡(luò)安全預(yù)警】關(guān)于Chromium內(nèi)核瀏覽器遠(yuǎn)程命令執(zhí)行漏洞等風(fēng)險(xiǎn)預(yù)警的通知

       近期，網(wǎng)信部門(mén)下發(fā)了多個(gè)網(wǎng)絡(luò)信息安全預(yù)警通告，現(xiàn)將主要情況通告如下，請(qǐng)學(xué)院各部門(mén)、各相關(guān)人員進(jìn)行自查，對(duì)相關(guān)系統(tǒng)進(jìn)行升級(jí)，做好防范工作。

關(guān)于Chromium內(nèi)核瀏覽器遠(yuǎn)程命令執(zhí)行

漏洞風(fēng)險(xiǎn)預(yù)警的通知

近日，安全研究人員發(fā)現(xiàn)Chromium內(nèi)核瀏覽器存在多個(gè)遠(yuǎn)程命令執(zhí)行漏洞并公布了POC，攻擊者可利用該漏洞構(gòu)造特殊的web頁(yè)面，誘導(dǎo)被攻擊者訪問(wèn)，從而達(dá)到遠(yuǎn)程命令執(zhí)行的目的。

漏洞影響版本：

1.Google Chrome瀏覽器最新正式版（90.0.4430.72）和以下相關(guān)版本。

2.Microsoft Edge正式版（89.0.774.77）和以下相關(guān)版本。

3.使用Chromium內(nèi)核的其他瀏覽器（360安全瀏覽器、遨游瀏覽器、搜狗瀏覽器、極速瀏覽器等）。

應(yīng)對(duì)建議：

1.參照各瀏覽器廠商的官方指導(dǎo)盡快升級(jí)至安全版本。

        2.在任何情況下都避免打開(kāi)來(lái)歷不明的網(wǎng)頁(yè)鏈接以及避免點(diǎn)擊來(lái)源不明的郵件附件。

關(guān)于Windows版本微信受Chromium瀏覽器內(nèi)核安全漏洞影響

釣魚(yú)攻擊的風(fēng)險(xiǎn)預(yù)警的通知

近日發(fā)現(xiàn)，Chromium內(nèi)核瀏覽器存在多個(gè)遠(yuǎn)程命令執(zhí)行漏洞，微信內(nèi)置瀏覽器基于該內(nèi)核，也受漏洞影響，騰訊公司已發(fā)布通告，通告鏈接：https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ。經(jīng)分析，微信內(nèi)置瀏覽器關(guān)閉了沙箱模式，漏洞利用難度降低，用戶(hù)在微信中打開(kāi)攻擊者構(gòu)造的釣魚(yú)鏈接時(shí)，可觸發(fā)漏洞，導(dǎo)致PC被植入木馬。專(zhuān)業(yè)機(jī)構(gòu)監(jiān)測(cè)發(fā)現(xiàn)，已有攻擊者利用微信（PC版）對(duì)用戶(hù)實(shí)施釣魚(yú)攻擊。

處置措施：

1.提高安全意識(shí)，避免在微信（PC版）點(diǎn)擊可疑鏈接。

2.目前微信已修復(fù)此漏洞并發(fā)布了更新版本，盡快升級(jí)微信（PC版）至最新安全版本。

關(guān)于排查華天動(dòng)力協(xié)同OA辦公系統(tǒng)管理員賬戶(hù)弱口令的風(fēng)險(xiǎn)預(yù)警的通知

        國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心云南分中心（以下簡(jiǎn)稱(chēng)云南互聯(lián)網(wǎng)應(yīng)急中心）通過(guò)綜合分析近期省內(nèi)外弱口令風(fēng)險(xiǎn)事件，發(fā)現(xiàn)部分版本的華天動(dòng)力協(xié)同OA辦公系統(tǒng)管理員賬戶(hù)的默認(rèn)口令為弱口令（賬戶(hù)名為administrator/admin，默認(rèn)口令為123456），其政務(wù)OA產(chǎn)品在國(guó)內(nèi)廣泛使用，涉及大量企業(yè)及政府單位用戶(hù)。

因OA系統(tǒng)往往存有政務(wù)文檔內(nèi)容，工作人員職務(wù)及聯(lián)系方式等個(gè)人信息，建議各單位盡快開(kāi)展本單位及下屬單位的排查，修改默認(rèn)口令，防患于未然。

注：使用玉溪市智慧政務(wù)協(xié)同工作平臺(tái)的單位不涉及此漏洞。