概括

11月，Secunia Research从70个独特的供应商处发布了391个建议，涉及236种产品和311个独特版本。与上个月相比下降了12.8％。

谷歌浏览器发布了一项零日咨询服务，被称为万圣节之夜恐慌。另外，针对Linux和IBM发布了2个带有漏洞的通报，这些漏洞负责勒索软件攻击。

90％的咨询在发布之日就有解决方案，这意味着漏洞管理解决方案可以帮助立即修复这些漏洞。

以下是漏洞数量排名最高的供应商。

供应商的咨询

RedHat，SUSE和Amazon是报告基于Linux操作系统中的漏洞的顶级供应商。当Oracle Linux进入6^日 微软以13条建议位居第9位。随着时间的推移，Microsoft拥有最易受攻击的产品的概念已经发生了变化，其中开源已接管了漏洞最多的顶级供应商。

图5是最高严重性，下图显示了根据顾问数量排序的每个供应商的平均严重性。

重要性咨询

11月仅存在2个极其严重的漏洞，其中Google Chrome在万圣节之夜发布了一个紧急补丁程序，版本为78.0.3904.87，从而产生了Secunia Advisory SA91892。另一个极为重要的建议归因于Microsoft Internet Explorer版本9,10和11，其中在周二的Microsoft补丁程序中发布了相关的Microsoft KB。

1.极度关键，2.极度严重3.极度严重4.不太严重5.不严重

SAID计数与CVSS 3平均得分的比较

像往常一样，可以从远程利用大多数漏洞，这使得补救工作变得更加重要。

平均CVSS分数得出的建议

通用漏洞评分系统– CVSS是评估漏洞严重程度的通用行业标准。它的范围是10到0，其中10最高。当前，CVSS标准是版本3。

解决方案咨询

在发布公告的当日，有90％的漏洞具有解决方案，而89.5 %%的漏洞具有补丁。

威胁景观

软件漏洞研究和软件漏洞管理解决方案中的新功能可帮助我们的客户根据准确的威胁状况确定优先级并进行补救。有几个漏洞的威胁评分非常高。谷歌浏览器和互联网浏览器是威胁评分最高的软件。

威胁评分（1+）为正的SAID：       223 (57.03%)

无威胁分数SAID（= 0）：                168 (42.97%)

低范围威胁评分SAID（1-12）：    180 (46.04%)

中程威胁评分SAID   (13-23):   37 (9.46%)

高范围威胁评分SAID     (24-44):   4 (1.02%)

临界范围威胁评分SAID（45-70）：   1 (0.26%)

非常关键的威胁评分SAID  (71-99):   1 (0.26%)

勒索软件，恶意软件和漏洞利用工具包

Red Hat Collection中的CVE-2019-11043已链接到Ransomware，而IBM Security QRadar SIEM 7.x 最近的网络攻击，恶意软件和勒索软件利用CVE-2018-12130漏洞与历史勒索软件和CVE-2019-1125相关联。

历史链接到勒索软件：2   (0.51%)

历史链接到恶意软件：30  (7.67%)

链接到最近的网络漏洞利用：       95  (24.30%)

链接到历史网络漏洞利用：  187 (47.83%)

链接到渗透测试工具：       66  (16.88%)

CVSS 3分数

CVSS3得分低的SAID>= 4.0: 25  (6.39%)

中端CVSS3的SAID范围为4-7：146（37.34％）

具有较高CVSS3范围的SAID 7-10：220（56.27％）

结论

与过去几个月相比，11月份发布的公告数量有所减少，而Google Chrome和Internet Explorer漏洞占据了头条新闻。假期期间，许多企业对Google Chrome零日咨询服务措手不及。开源操作系统中的漏洞（主要是Linux和其他软件）正在增加，而Microsoft漏洞正在减少。微软虔诚地遵循其星期二的补丁程序，可以帮助企业制定有效的微软资产补丁程序管理策略，而第三方补丁程序管理仍然是大多数企业的致命弱点。

标签： 每月漏洞审查

来源：//community.flexera.com/t5/Software-Vulnerability/Monthly-Vulnerability-Review-November-2019