在本周的文摘中,我们将讨论。
- 中存在一个跨站脚本漏洞,该漏洞可导致远程代码执行;
- zlib 中的缓冲区溢出漏洞;以及
- 在NVIDIA GPU 显示驱动程序中发现多个漏洞。
通过 XSS 的 Joplin 远程代码执行
在 Joplin 中发现了一个通过 XSS 执行代码的漏洞,攻击者可通过注入到 Node 标题中的精心制作的有效载荷执行任意命令。Joplin是一款免费、开源、基于标记符的笔记应用程序,兼容 Windows、Mac 和 Linux 等多个操作系统。
该漏洞源于 GotoAnything.tsx 中危险的 SetInnerHTML() 方法如何与未转义的用户输入一起使用。这使得攻击者只需在节点标题中共享带有漏洞有效载荷的笔记本,就能在受害者的系统上实现远程代码执行。只要受害者搜索笔记本,就会执行有效负载。
该补丁已在 Joplinv2.9.1版本中发布。Joplin v2.8.8 及更早版本也受影响。此漏洞注册为CVE-2022-35131,在 NVD 的 CVSS 评分中被评为 9.0,因为它对机密性、完整性和可用性有很大影响。成功的攻击需要任何经过验证的用户搜索存在漏洞的笔记本。
我们建议您尽快将 Joplin 更新到最新版本,尤其是在接收共享笔记本的情况下。
Zlib 基于堆的缓冲区溢出漏洞
在用于数据压缩的流行通用库 zlib 中发现了基于堆的缓冲区溢出漏洞。该漏洞已注册为CVE-2022-37434,影响 1.2.12 以下的所有版本。
由于 inflate.c 中存在基于堆的缓冲区超读或缓冲区溢出,该漏洞可通过一个大的 gzip 头额外字段被利用。根据开发人员创建的拉取请求注释,如果额外字段大于用户在 inflateGetHeader() 中提供的空间,并且如果多次调用 inflate() 传递额外的头数据,那么所提供的空间就可能出现缓冲区溢出。此漏洞只影响使用 inflateGetHeader() 方法的应用程序。
NVIDIA GPU 显示驱动程序发现多个漏洞
NVIDIA全球最受欢迎的GPU 制造商之一美国科胜讯公司发布了一份安全公告,称在其 Windows 和 Linux 平台的GPU 显示驱动程序中发现了多个安全漏洞。利用这些漏洞可以实施各种类型的攻击,如拒绝服务、信息泄露、权限升级、代码执行或数据篡改。
根据NVIDIA' 安全公告,其中一个高严重性漏洞 CVE-2022-31607 影响内核模式层 (nvidia.ko),具有基本能力的本地用户可通过不当的输入验证导致多个利用路径。该漏洞影响 Linux,CVSS 得分为 7.8,保密性、完整性和可用性评级较高。
CVE-2022-31608 描述了可选 D-Bus 配置文件中的一个漏洞,该漏洞可导致代码执行。具有基本功能的本地用户可以利用该漏洞。NVIDIA安全公告中提到的大多数 CVE 都要求受害者系统具有本地权限才能成功利用。
您可以使用NVIDIA 提供的本指南来了解电脑中当前安装的是哪个NVIDIA 显示驱动程序。
评论 (2)
The link for this Joplin(https://joplin.org/) is wrong it should be https://joplinapp.org/
Hey Adrian – thanks for pointing that out. We’ve updated the link to point to the correct site.