cve

若要验证在系统上安装的 Adobe Flash Player 的版本，请访问“关于 Flash Player”页面，或者右键单击在 Flash Player 中运行的内容并从菜单中选择“关于 Adobe Flash Player”或“关于 Macromedia Flash Player”。如果您使用多种浏览器，请针对系统中所安装的每种浏览器执行检查。 Adobe 按照以下优先级将这些更新分类，并建议用户将其安装的软件更新至最新版本： [1] 对于使用适用于 Windows 的 Flash Player 11.2.x 或更高版本的用户，或者使用适用于 Macintosh 的 Flash Player 11.3.x 或更高版本的用户而言，如果选择了“允许 Adobe 安装更新”选项，则可以自动获取更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。 如果可能，Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞

Exchange Server是微软公司的是一套电子邮件服务组件，是个消息与协作系统，主要提供包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议和工作流等协作应用。 该漏洞是Exchange中的服务端请求伪造漏洞（SSRF），利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证，远程未授权的攻击者可以利用该漏洞以进行内网探测，并可以用于窃取用户邮箱的全部内容。 危害：该漏洞是Exchange中的服务端请求伪造漏洞（SSRF），利用此漏洞的攻击者能够发送任意HTTP请求并绕过Exchange Server身份验证，远程未授权的攻击者可以利用该漏洞以进行内网探测，并可以用于窃取用户邮箱的全部内容

远端 Scientific Linux 主机缺少一个或多个安全性更新。 处理格式有误之网页内容时发现多个瑕疵。包含恶意内容的网页可造成 Firefox 损毁，或可能利用执行 Firefox 之使用者的权限来执行任意程式码

远程主机上安装的 Dell EMC iDRAC8 受到一个漏洞影响。 远程主机上安装的 Dell EMC iDRAC8 为 2.83.83.83 之前的版本。因此，该应用程序受到 DSA-2022-069 公告中提及的漏洞的影响

Hackernews 编译，转载请注明出处： VMware本周发布了补丁，以解决VMware Tools实用工具套件中的一个严重漏洞，该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块，支持公司产品中的多项功能，以便更好地管理客户机操作系统，并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞，从而提升受损系统上的权限

当地时间12月8日，OpenSSL发布安全通告公布了一个空指针解引用漏洞（CVE-2020-1971），官方评级高危。 漏洞存在于OpenSSL的函数GENERAL_NAME_cmp中，GENERAL_NAME_cmp函数可用来比较GENERAL_NAME的不同实例，以查看它们是否相等。当被比较的两个GENERAL_NAME都包含EDIPartyName时，将触发空指针解引用，造成程序崩溃最终导致拒绝服务

据外媒报道，9月10日，微软发布了用于修补79个安全漏洞的相关补丁。其中，有17个漏洞被评为严重漏洞，61个为重要漏洞，还有1个为中等级别漏洞。 据了解，有两个安全漏洞在补丁发布前就已被公开，其中一个是Windows文本服务框架中的特权提升漏洞（CVE-2019-1235）

如果您在安装此更新之后安装语言套件，您必须重新安装此更新。 因此，我们建议您在安装此更新前，先安装任何需要的语言套件。 如需详细资讯，请参阅在 Windows 新增语言套件

远端 Scientific Linux 主机缺少一个或多个安全性更新。 在 BIND 处理零长度资源资料记录的方式中发现一个瑕疵。恶意的 DNS 网域拥有者可利用此瑕疵来建立特制的 DNS 资源记录，该记录会导致递回解析器或次要服务器当机，或可能的内存部分泄漏