鑽石舞台

01

威脅等級：高危

漏洞描述：

2022年5月9日，華雲安思境安全團隊發現 Google 官方發布安全更新，披露了 Google Chrome for Android 組件中存在一處 UAF 漏洞。Chrome 是一款快速、易用且安全的網絡瀏覽器。該漏洞是由於 Sharesheet 釋放後重用引起，成功利用此漏洞的攻擊者通過誘使用戶訪問特製網頁，從而觸發釋放後重用錯誤，導致在系統上執行任意代碼攻擊。

情報來源：

https://chromereleases.googleblog.com/2022/05/chrome-for-android-update.html

02

威脅等級：嚴重

漏洞描述：

2022年5月10日，華雲安思境安全團隊發現 Microsoft 官方發布5月份安全更新，共發布了76個漏洞的補丁程序，其中 Microsoft Windows 漏洞51個。主要涵蓋了 Microsoft Windows 和 Windows 組件、Microsoft Windows ALPC、Windows Failover Cluster Automation Server、MicrosoftGraphics Component、Microsoft Excel、Microsoft Windows WLAN Auto Config Service 等多個產品和組件。在漏洞安全等級方面，有3個嚴重漏洞，50個高危漏洞；在漏洞類型方面，主要有27個為輸入驗證錯誤漏洞，17個為信息泄露漏漏洞，16個為競爭條件問題漏洞以及16個其他漏洞。對此，華雲安建議相關用戶及時到 Microsoft 官方下載安裝對應的安全補丁進行更新！

情報來源：

https://msrc.microsoft.com/update-guide/releaseNote/2022-May

03

威脅等級：高危

漏洞描述：

2022年5月10日，華雲安思境安全團隊發現 Adobe 官方發布安全更新，披露了 Adobe Framemaker 組件中存在一處越界寫入漏洞。Adobe Framemaker是 Adobe 公司的一套用於編寫和編輯大型或複雜文檔（包括結構化文檔）的頁面排版軟件。該漏洞是由於在處理嵌入字體時的邊界錯誤引起，成功利用此漏洞的攻擊者通過誘使用戶打開惡意創建的特製文件，從而觸發越界寫入，最終導致在目標系統上執行任意代碼攻擊。

情報來源：

https://helpx.adobe.com/security/products/framemaker/apsb22-27.html

04

威脅等級：超危

漏洞描述：

2022年5月12日，華雲安思境安全團隊發現 Zyxel 官方發布安全更新，披露了 Zyxel 防火牆組件中存在一處命令注入漏洞。Zyxel 是網絡寬帶系統及解決方案的供應商，Zyxel USG FLEX是一款防火牆，提供靈活的 VPN 選項（IPsec、SSL 或 L2TP），為遠程工作和管理提供靈活的安全遠程訪問。該漏洞是由於在 CGI 程序中未對用戶輸入進行過濾引起，成功利用此漏洞的攻擊者可修改特定文件，從而在易受攻擊的設備上執行一些操作系統命令。

情報來源：

https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

05

威脅等級：高危

漏洞描述：

2022年5月13日，華雲安思境安全團隊發現 SonicWall 官方發布安全更新，披露了SonicWall SSLVPN SMA1000 組件中存在一處訪問控制繞過漏洞。Sonicwall SMA1000系列產品是一系列安全移動訪問解決方案。簡化了對跨本地、雲和混合數據中心託管的企業資源的端到端安全遠程訪問。該漏洞是由於 SMA1000 系列設備未正確限制對資源的訪問權限，導致不正確的訪問控制問題。

情報來源：

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0009