2022年8月8日至12日，Linode安全摘要

在本周的文摘中，我们将讨论。

• 一个跨站脚本漏洞，可导致乔普林的远程代码执行；
• zlib中的一个缓冲区溢出漏洞；以及
• NVIDIA GPU显示驱动程序中发现的多个漏洞。

Joplin通过XSS实现远程代码执行

在Joplin中发现了一个通过XSS的代码执行漏洞，可以让攻击者通过注入到Node标题中的精心制作的有效载荷执行任意命令。Joplin是一个免费的、开源的、基于标记的笔记应用程序，兼容多种操作系统，如Windows、Mac和Linux。 

该漏洞源于GotoAnything.tsx中危险的SetInnerHTML()方法如何与未转义的用户输入一起使用。这使得攻击者可以在受害者的系统上实现远程代码执行，只需在节点标题中共享一个有漏洞的有效载荷的笔记本。每当受害者搜索该笔记本时，有效载荷就会执行。

该补丁已在Joplin的v2.9.1版本中发布。Joplin v2.8.8版和更早的版本都受到影响。该漏洞登记为CVE-2022-35131，由于对保密性、完整性和可用性的影响很大，在NVD的CVSS评分中被评为9.0。一个成功的攻击需要任何有身份的用户搜索有漏洞的笔记本。

我们建议你尽快将Joplin更新到最新版本，特别是当你收到共享笔记本时。

Zlib基于堆栈的缓冲区溢出漏洞

在zlib中发现了一个基于堆的缓冲区溢出漏洞，zlib是一个用于数据压缩的流行通用库。该漏洞已被注册为CVE-2022-37434，影响到1.2.12以下的所有版本。

由于inflate.c中基于堆的缓冲区超读或缓冲区溢出，通过一个大的gzip头额外字段，该漏洞的利用是可能的。根据开发者创建的拉动请求注释，如果该额外字段大于用户用inflateGetHeader()提供的空间，并且如果多次调用inflate()传递额外的头数据，那么就可能出现所提供空间的缓冲区溢出。这个漏洞只影响到使用inflateGetHeader()方法的应用程序。 

NVIDIA GPU显示器驱动程序发现多个漏洞

NVIDIA最受欢迎的GPU制造商之一，针对在其Windows和Linux平台的GPU显示驱动中发现的多个漏洞发布了安全公告。这些漏洞可以被利用来进行各种类型的攻击，如拒绝服务、信息披露、权限升级、代码执行或数据篡改。 

其中一个高危漏洞CVE-2022-31607影响到内核模式层(nvidia.ko)，根据NVIDIA' 安全公告，具有基本能力的本地用户可以导致不当的输入验证，从而导致几个利用路径。该漏洞影响到Linux，CVSS评分为7.8，在保密性、完整性和可用性方面的评分较高。 

CVE-2022-31608描述了一个可选的D-Bus配置文件中的漏洞，可导致代码执行。具有基本能力的本地用户可以利用该漏洞。NVIDIA安全公告中提到的大多数CVE都需要受害者系统的本地权限，才能成功利用。 

你可以使用这个来自NVIDIA 的指南来了解你的电脑中目前安装的是哪一个NVIDIA 显示驱动。