信息化觀察網(wǎng)

只要是電子產(chǎn)品都會(huì)有安全漏洞，無(wú)論公司的安全系統(tǒng)做得再好，還是會(huì)出現(xiàn)這種情況。雖然這句話說(shuō)的有點(diǎn)絕對(duì)，但事實(shí)就是如此。近日，小米、蘋果、友訊等智能產(chǎn)品接連被曝出存在安全問題。

在接下來(lái)的內(nèi)容中，我們將依次為大家呈現(xiàn)這些漏洞。需要注意的是，幾家廠商已經(jīng)針對(duì)部分漏洞發(fā)布了解決方案，請(qǐng)大家務(wù)必及時(shí)安裝升級(jí)補(bǔ)丁。

小米A1信息泄露漏洞

CVE編號(hào)：CVE-2018-18698

危害級(jí)別：中

影響產(chǎn)品：小米A1 8.1.0版本、小米A1 OPM1.171019.026版本和小米A1 9.6.4.0.ODHMIFE版本

漏洞描述：小米A1 8.1.0版本、小米A1 OPM1.171019.026版本和小米A1 9.6.4.0.ODHMIFE版本中存在信息泄露漏洞，該漏洞源于在將手機(jī)設(shè)置為熱點(diǎn)的過(guò)程中設(shè)備在logcat中存儲(chǔ)了明文Wi-Fi密碼，攻擊者可利用該漏洞獲取Wi-Fi密碼。

解決方案：廠商尚未提供漏洞修復(fù)方案，請(qǐng)關(guān)注廠商主頁(yè)更新。

蘋果iOS Messages UI欺騙漏洞

CVE編號(hào)：CVE-2018-4391

危害級(jí)別：中

影響產(chǎn)品：Apple iOS 12.1之前版本

漏洞描述：Apple iOS 12.1之前版本中的Messages組件存在安全漏洞。攻擊者可借助特制的文本消息利用該漏洞偽造UI。

解決方案：目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接（hxxps://support.apple.com/zh-cn/HT209192）

蘋果macOS Spotlight內(nèi)存破壞漏洞

CVE編號(hào)：CVE-2018-4393

危害級(jí)別：高

影響產(chǎn)品：蘋果macOS Sierra 10.12.6和蘋果macOS High Sierra 10.13.6

漏洞描述：蘋果macOS Sierra 10.12.6版本和macOS High Sierra 10.13.6版本中的Spotlight組件存在安全漏洞。攻擊者可利用該漏洞以系統(tǒng)權(quán)限執(zhí)行任意代碼（內(nèi)存破壞）。

解決方案：目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接（hxxps://support.apple.com/zh-cn/HT209193）

蘋果macOS Security拒絕服務(wù)漏洞

CVE編號(hào)：CVE-2018-4395

危害級(jí)別：中

影響產(chǎn)品：蘋果macOS Sierra 10.12.6和蘋果macOS High Sierra 10.13.6

漏洞描述：蘋果macOS Sierra 10.12.6版本和macOS High Sierra 10.13.6版本中的Security組件存在安全漏洞。本地攻擊者可利用該漏洞造成拒絕服務(wù)。

解決方案：目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接（hxxps://support.apple.com/zh-cn/HT209193）

D-Link DIR-140L和DIR-640L無(wú)線路由器信息泄露漏洞

CVE編號(hào)：CVE-2018-18009

危害級(jí)別：中

影響產(chǎn)品：D-Link DIR-140L 1.02版本和D-Link DIR-640L 1.01RU版本

漏洞描述：D-Link DIR-140L 1.02版本和DIR-640L 1.01RU版本中的dirary0.js文件存在信息泄露漏洞，遠(yuǎn)程攻擊者可利用該漏洞泄露admin憑證。

解決方案：廠商尚未提供漏洞修復(fù)方案，請(qǐng)關(guān)注廠商主頁(yè)更新。

D-Link DSL-2770L無(wú)線路由器管理員憑證泄露漏洞

CVE編號(hào)：CVE-2018-18007

危害級(jí)別：中

影響產(chǎn)品：D-Link DSL-2770L ME_1.01版本、ME_1.02版本和AU_1.06版本

漏洞描述：D-Link DSL-2770L ME_1.01版本、ME_1.02版本和AU_1.06版本中的atbox.htm文件存在安全漏洞。攻擊者可利用該漏洞泄露admin憑證。

參考鏈接：hxxps://seclists.org/fulldisclosure/2018/Dec/38

解決方案：廠商尚未提供漏洞修復(fù)方案，請(qǐng)關(guān)注廠商主頁(yè)更新。

多款D-Link無(wú)線網(wǎng)絡(luò)攝像頭未授權(quán)訪問漏洞

CVE編號(hào)：CVE-2018-18441

危害級(jí)別：中

影響產(chǎn)品：D-Link DCS-936L、D-Link DCS-942L、D-Link DCS-8000LH、D-Link DCS-942LB1、D-Link DCS-5222L、D-Link DCS-825L、D-Link DCS-2630L、D-Link DCS-820L、D-Link DCS-855L、D-Link DCS-2121、D-Link DCS-5222LB1和D-Link DCS-5020L

漏洞描述：使用1.00及之后版本固件的多款D-Link無(wú)線網(wǎng)絡(luò)攝像頭中存在安全漏洞。遠(yuǎn)程攻擊者可借助/common/info.cgi文件利用該漏洞訪問配置文件，獲取型號(hào)、產(chǎn)品、品牌、版本、硬件版本、設(shè)備名稱、位置、MAC地址、IP地址、網(wǎng)關(guān)IP地址、無(wú)線狀態(tài)、輸入/輸出設(shè)置、揚(yáng)聲器和傳感器設(shè)置信息等。

（原標(biāo)題：近期漏洞集合：小米、蘋果、友訊等產(chǎn)品均存在安全問題）