盘点：2021年上半年都曝光了哪些高危漏洞？

2021开始至今，已有众多高危网络安全漏洞披露，涉及范围及公司广泛，例如高通芯片的高危漏洞据称会影响到全球40%手机，而英特尔、AMD CPU的高危漏洞会导致数十亿计算机受影响。苹果公司，微软，和谷歌浏览器Chrome中也分别发现多个高危漏洞。除此之外国内厂商小米也披露了其MIUI系统越权漏洞预警。

高通芯片高危漏洞影响全球40%手机

5月初，高通公司的移动调制解调器MSM芯片（包括最新的支持5G的版本）中发现了一个高危安全漏洞（CVE-2020-11292），攻击者可以利用该漏洞获取手机用户的短信、通话记录、监听对话甚至远程解锁SIM卡，该漏洞的利用甚至无法被常规系统安全功能检测到。

高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系统（SoC），全部都存在该高危漏洞。目前全球约40%的手机都使用了MSM芯片，其中包括三星、谷歌、LG、OnePlus和小米在内的多家手机供应商的产品。该安全漏洞甚至还可使攻击者解锁移动设备的用户识别模块（SIM），后者存储着用户的网络身份验证信息和联系人信息。

为了保护自己免受利用此类漏洞或相关恶意软件的攻击，建议安卓手机用户将设备尽快更新到最新版本的安卓操作系统。此外，安全专家再次强调，用户应当从安卓官方应用商店中安装应用程序，这样能大大降低意外安装恶意应用程序的风险。

英特尔、AMD CPU再曝高危漏洞，数十亿计算机受影响

5月初，美国一组研究人员发现了一条新的攻击路线，绕过了芯片中内置的所有当前Spectre保护，可能导致几乎所有台式机、笔记本电脑、云服务器和智能手机再次像三年前一样处于危险之中。同时，5月4日，戴尔公司自曝其上亿台电脑的固件升级驱动中存在一个长达12年的漏洞（已修复）。5月6日，英特尔、AMD等处理器巨头的处理器芯片再次发现新的高危漏洞。

2018年，现代处理器中普遍存在的的熔断漏洞（Meltdown）和幽灵漏洞（Spectre）被披露时，发现该类漏洞的研究人员说：现代处理器中普遍存在的的熔断漏洞（Meltdown）和幽灵漏洞（Spectre）由于难以修复，幽灵漏洞将困扰我们相当长的时间。

高危漏洞致使全球数十万台Microsoft Exchange服务器被攻击

3月，Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。据悉，全球已有数十万台Exchange服务器被攻击，大量企业、政府部门被感染，超过6万家组织受影响。

成功利用漏洞的攻击者可以在目标系统中获取敏感信息、写入任意文件、执行恶意代码等。通过这些漏洞，攻击者无需身份验证或访问个人电子邮件帐户即可从Exchange服务器读取电子邮件。而通过后面的漏洞链接，攻击者则能够完全接管邮件服务器。Exchange中出现的四个零日漏洞已经被至少10个高威胁性黑客组织注意到了，这些黑客组织已经在全球100个国家以上的超过5000台服务器中安装了后门程序，从而攻击者可以简单的通过web浏览器对服务器进行远程控制。

Microsoft Exchange 2010、Microsoft Exchange2013、Microsoft Exchange 2016、MicrosoftExchange 2019等版本均受漏洞影响。微软官方已发布补丁修复了上述漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

Microsoft Windows多个高危漏洞被披露

Windows系统本地提权漏洞（2月）

本地攻击者可以利用此漏洞提升到system权限，据称此漏洞被用于定向攻击活动。漏洞相应的利用程序已经公开，有可能被改造来执行大范围的攻击，已经构成现实的威胁。目前微软已经修补了此漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。另外Windows客户端远程代码执行漏洞

Windows DNS Server（3月)

微软 3 月补丁日公开了 Windows DNS Server 中存在的多个远程代码执行漏洞和拒绝服务漏洞，这些漏洞都存在于 Windows DNS Server 进行动态区域更新的过程中。攻击者可通过向目标主机发送特制请求来利用这些漏洞，成功利用这些漏洞可在目标主机上以 SYSTEM 权限执行任意代码或导致 DNS 服务拒绝服务。微软官方已发布补丁修复了上述漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

Microsoft HTTP.sys（5月）

Microsoft HTTP.sys是美国微软（Microsoft）公司的一个应用协议。该漏洞存在于Windows 10和Windows Server中的HTTP协议栈(http.sys)处理程序中。未授权的攻击者可以构造恶意请求包攻击目标服务器，从而在目标服务器执行任意代码。目前，漏洞利用代码已在网络中公布，该漏洞在微软5月补丁日中完成了修复，微软官方将其标记为可造成蠕虫攻击及易被攻击的漏洞。

小米手机MIUI系统越权漏洞预警

4月，小米官方发布安全公告，小米手机MIUI系统存在越权漏洞(CVE-2020-14106)，Xiaomi MIUI是中国小米科技（Xiaomi）公司的一套基于Android开发的智能手机操作系统。

该漏洞源于未经授权访问手机中运行的进程列表，攻击者可利用该漏洞获取前台运行进程信息。目前小米官方已发布新版本进行修复，建议受影响用户及时将MIUI系统版本升级至2021.01.26或更高以进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

5G网络曝严重漏洞：可窃取其他用户数据

2月4日，移动安全公司AdaptiveMobile发布研究，称5G架构的网络切片与虚拟化网络功能存在安全漏洞，恶意攻击者可能借此跨越移动运营商5G网络上的各个不同网络切片，发动数据访问与拒绝服务攻击。

5G架构带来的全新安全隐患不仅与支持传统功能的硬性需求有关，同时也涉及由4G过渡至5G所带来的“协议复杂性提升”。攻击者可以经由网络功能接入5G运营商的基于服务架构，借此夺取核心网络及网络切片的控制权。

为了应对这一威胁，除了部署信令层保护解决方案之外，还建议在不同的切片、核心网络与外部合作伙伴之间各共享及非共享网络功能之间，采用信令安全过滤器。这种方式能够将网络划分为多个不同的安全区域，由此抵御因不同层间关联缺失引发的数据泄露隐患。

Python官方紧急修复两个漏洞：可导致拒绝服务等

Python 软件基金会 (PSF) 紧急推出 Python 3.9.2 和 3.8.8 稳定版，解决两个严重的安全缺陷，其中一个从理论上讲可遭远程利用但实际上仅可导致机器宕机。

随后，PSF发布了两个候选版本：3.9.2和3.8.8，但发布后后，PSF 收到大量终端用户因安全内容而要求发布最终版本的查询。PSF 原以为安全内容是下游发行商精选的，而发布候选版本为有升级需求的其他人发布了安装程序。但实际上发布候选版本基本对社区不可见，而且在很多情况下由于现有的升级流程而无法被使用。为此，PSF 决定停止位漏洞修复版本提供发布候选版本。最终，PSF 为那些认为发布候选版本不够的社区成员发布了最终的 3.9.2和3.8.8稳定版本。

谷歌披露：利用多达11个零日漏洞，为期9个月的攻击活动

3月18日，谷歌的研究人员发布博文，称一个高级黑客团伙在一场为期9个月的攻击活动中，利用多达11个零日漏洞，利用沦陷的网站来感染运行Windows、iOS和Android的已全面打上补丁的设备。该组织采用了新颖的利用和混淆技术，熟练运用一大批类型的漏洞，并使用一套复杂的漏洞利用程序部署基础设施，在2020年2月利用了4个零日漏洞。这伙黑客能够把攻陷已打补丁的Windows和Android设备，谷歌“零日漏洞计划”（Project Zero）和威胁分析小组的成员们因此称该组织“手法非常老到”。 受到攻击的软件包括iphone上的Safari浏览器，以及许多谷歌产品，包括Android手机和Windows电脑上的Chrome浏览器。

3月26日，安全专家Patrick Howell O"Neill在MIT Technology Review上撰文称，阻止“专家级”网络攻击的决定在谷歌内部引发了争议，此前有消息称这些黑客是为美国的一个盟友工作。目前明确的事实是：

• 谷歌的安全团队公开揭露了一个长达9个月的黑客行动。
• 未披露的信息是:此举终止了一个西方政府正在进行的反恐行动。
• 这一决定在谷歌内部和其他地方敲响了警钟。
• 网络司令部在去年以保护2020总统大选和反恐的名义实施了20多起网络攻击行动。

但谷歌内部得出的结论是，谁在入侵，为什么要入侵，从来没有安全漏洞本身重要。今年早些时候，“零日漏洞计划”(Project Zero)的玛蒂·斯通(Maddie Stone)认为，黑客很容易就能找到并利用强大的零日漏洞，她的团队在探测这些漏洞的使用上面临着一场艰巨的挑战。

谷歌决定为每个人采取更广泛的行动，而不是关注谁是幕后黑手和特定行动的目标。这样做的理由是，即使今天是一个西方政府在利用这些漏洞，它最终也会被其他国家利用，所以正确的选择总是在今天修复漏洞。

苹果公司漏洞

苹果紧急修复远程命令执行漏洞，影响数十亿设备（3月）

苹果已为 iOS、macOS、watchOS 和 Safari 浏览器发布带外补丁，解决了一个可导致攻击者通过恶意 Web 内容在设备上执行任意代码的安全缺陷。该漏洞的编号是 CVE-2021-1844，由谷歌威胁分析团队研究员 Clément Lecigne 和微软浏览器漏洞研究团队研究员 Alison Huffman 发现并报告。

从苹果发布的更新说明来看，该缺陷源自一个内存损坏问题，在处理特殊构造的 Web 内容时可导致任意代码执行后果。苹果公司表示已通过“改进验证”的方式解决了该问题。

运行 iOS 14.4、iPadOS 14.4、macOS Big Sur 和 watchOS 7.3.1 (Apple Watch Series 3 及后续版本)的设备可应用补丁，运行 macOS Catalina 和 macOS Mojave 的 MacBooks 版本的 Safari 可更新。

苹果“Find My”功能曝漏洞，可暴露用户的位置信息（3月）

网络安全研究员披露了苹果众源的蓝牙位置追踪系统中的两个设计和实现缺陷，可导致位置相关攻击和对用户过去七天位置历史信息的未授权访问，因此可导致用户被去匿名化。

OWL (Open Wireless Link) 项目（德国达姆施塔特技术大学安全移动网络实验室安全团队）广泛审计后发现了这两个漏洞。OWL 项目此前曾参与苹果的无线生态系统，目的是识别安全问题和隐私问题。作为对2020年7月2日披露内容的回应，据称苹果已部分解决了这些问题。

AirDrop漏洞使10亿人面临数据泄漏风险（4月）

德国达姆施塔特工业大学的一个漏洞调查小组曾对AirDrop（iOS和macOS的临时无线文件共享服务）进行了逆向工程，结果发现发送方和接收方可能会在文件传输过程中泄漏联系人信息，据说有十亿以上的人面临这种隐私泄漏风险（全球每时每刻都有超过十亿个活跃的iPhone）。

黑客只要待在距离目标iPhone非常近的范围内就能获得一张公开分享表，用户的个人信息就会泄露。虽然AirDrop为了确定对方是不是已知联络人，会利用一种双向机制来对比双方的电话号码以及电邮地址，但是黑客只要使用简单的技巧就可以快速破解，从而得到用户信息。所以，研究人员认为这个漏洞非常严重，很大程度上造成了隐私泄露，这对于安全性极高的iPhone机来说，无疑是一个大漏洞。

一直到现在Apple依旧没有确认这个问题存在，而且也没有着手研究解决方案，甚至说苹果并不认为这个漏洞会对用户造成隐私泄露的危害。但是，经过研究人员的研究，发现目前超过15亿部Apple设备存在隐私攻击的风险，除非用户直接关掉AirDrop，才能够确保自己的隐私不会泄露。

Google Chrome相关漏洞

Google Chrome漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。V8是一个Google开源的，并基于C++的高新能WebAssembly和javaSctipt引擎，V8引擎不仅被广泛应用于Google Chrome、Microsoft Edge等网页浏览器软件中，而且在内置网页浏览功能的软硬件（服务）产品中得到了广泛应用，因此V8引擎存在的安全缺陷会对内嵌V8引擎的软硬件产品和服务造成影响，导致关联漏洞的发生。

4月，Google发布安全更新公告，修复了V8引擎堆缓冲区溢出漏洞，对应CVE编号：CVE-2021-21148。攻击者可利用该漏洞在目标用户的计算机上执行任意代码。该漏洞可能已被广泛利用，漏洞风险较大。建议广大用户及时将Chrome升级至88.0.4324.150最新版本，做好资产自查以及预防工作，以免遭受黑客攻击。

Google Chrome漏洞导致微信等软件存在关联漏洞

4月17日，国家信息安全漏洞共享平台收录了微信Windows客户端远程代码执行漏洞，此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。微信客户端（Windows版本）使用V8引擎解析JavaScript代码，并关闭了沙盒模式（--no-sandbox参数)。攻击者利用上述漏洞，构造恶意钓鱼链接并通过微信发送，在引诱受害者使用微信客户端（Windows版）点击钓鱼链接后，可获取远程主机的控制权限，实现远程代码执行攻击。CNVD对该漏洞的综合评级为“高危”。

目前，谷歌、微软公司尚未发布新版本修复关联漏洞，CNVD建议用户使用Chrome、Edge等浏览器时不要关闭默认的沙盒模式，谨慎访问来源不明的文件或网页链接，并及时关注厂商的更新公告。腾讯公司已发布微信新版本修复该漏洞，建议用户立即将微信 （Windows版）更新至最新版本。产品内嵌谷歌V8引擎的软硬件（服务）厂商应对集成的V8引擎版本进行自查，更新引擎至最新版本，同时及时关注谷歌公司的安全更新公告，并通过沙盒模式调用该引擎。

微软每月漏洞

1月-5月，微软发布的漏洞月均78.2个，其中月均紧急漏洞9.8个。三月份4个漏洞在发布时就已遭在野利用。其中涉及产品包括Microsoft Defende、Windows TCP/IP、Windows DNS Server、HTTP 协议栈、Hyper-V、OLE Automation、Scripting Engine等。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。目前，微软官方已基本发布补丁修复了上述漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

参考资料：

https://www.secrss.com/articles?tag=%E6%BC%8F%E6%B4%9E

https://www.163.com/dy/article/G8E62TR30511IM5K.html

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。