【網(wǎng)絡(luò)安全預(yù)警】關(guān)于Chromium內(nèi)核瀏覽器遠(yuǎn)程命令執(zhí)行漏洞等風(fēng)險預(yù)警的通知

       近期，網(wǎng)信部門下發(fā)了多個網(wǎng)絡(luò)信息安全預(yù)警通告，現(xiàn)將主要情況通告如下，請學(xué)院各部門、各相關(guān)人員進(jìn)行自查，對相關(guān)系統(tǒng)進(jìn)行升級，做好防范工作。

關(guān)于Chromium內(nèi)核瀏覽器遠(yuǎn)程命令執(zhí)行

漏洞風(fēng)險預(yù)警的通知

近日，安全研究人員發(fā)現(xiàn)Chromium內(nèi)核瀏覽器存在多個遠(yuǎn)程命令執(zhí)行漏洞并公布了POC，攻擊者可利用該漏洞構(gòu)造特殊的web頁面，誘導(dǎo)被攻擊者訪問，從而達(dá)到遠(yuǎn)程命令執(zhí)行的目的。

漏洞影響版本：

1.Google Chrome瀏覽器最新正式版（90.0.4430.72）和以下相關(guān)版本。

2.Microsoft Edge正式版（89.0.774.77）和以下相關(guān)版本。

3.使用Chromium內(nèi)核的其他瀏覽器（360安全瀏覽器、遨游瀏覽器、搜狗瀏覽器、極速瀏覽器等）。

應(yīng)對建議：

1.參照各瀏覽器廠商的官方指導(dǎo)盡快升級至安全版本。

        2.在任何情況下都避免打開來歷不明的網(wǎng)頁鏈接以及避免點擊來源不明的郵件附件。

關(guān)于Windows版本微信受Chromium瀏覽器內(nèi)核安全漏洞影響

釣魚攻擊的風(fēng)險預(yù)警的通知

近日發(fā)現(xiàn)，Chromium內(nèi)核瀏覽器存在多個遠(yuǎn)程命令執(zhí)行漏洞，微信內(nèi)置瀏覽器基于該內(nèi)核，也受漏洞影響，騰訊公司已發(fā)布通告，通告鏈接：https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ。經(jīng)分析，微信內(nèi)置瀏覽器關(guān)閉了沙箱模式，漏洞利用難度降低，用戶在微信中打開攻擊者構(gòu)造的釣魚鏈接時，可觸發(fā)漏洞，導(dǎo)致PC被植入木馬。專業(yè)機(jī)構(gòu)監(jiān)測發(fā)現(xiàn)，已有攻擊者利用微信（PC版）對用戶實施釣魚攻擊。

處置措施：

1.提高安全意識，避免在微信（PC版）點擊可疑鏈接。

2.目前微信已修復(fù)此漏洞并發(fā)布了更新版本，盡快升級微信（PC版）至最新安全版本。

關(guān)于排查華天動力協(xié)同OA辦公系統(tǒng)管理員賬戶弱口令的風(fēng)險預(yù)警的通知

        國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心云南分中心（以下簡稱云南互聯(lián)網(wǎng)應(yīng)急中心）通過綜合分析近期省內(nèi)外弱口令風(fēng)險事件，發(fā)現(xiàn)部分版本的華天動力協(xié)同OA辦公系統(tǒng)管理員賬戶的默認(rèn)口令為弱口令（賬戶名為administrator/admin，默認(rèn)口令為123456），其政務(wù)OA產(chǎn)品在國內(nèi)廣泛使用，涉及大量企業(yè)及政府單位用戶。

因OA系統(tǒng)往往存有政務(wù)文檔內(nèi)容，工作人員職務(wù)及聯(lián)系方式等個人信息，建議各單位盡快開展本單位及下屬單位的排查，修改默認(rèn)口令，防患于未然。

注：使用玉溪市智慧政務(wù)協(xié)同工作平臺的單位不涉及此漏洞。