【网络安全预警】关于Chromium内核浏览器远程命令执行漏洞等风险预警的通知

       近期，网信部门下发了多个网络信息安全预警通告，现将主要情况通告如下，请学院各部门、各相关人员进行自查，对相关系统进行升级，做好防范工作。

关于Chromium内核浏览器远程命令执行

漏洞风险预警的通知

近日，安全研究人员发现Chromium内核浏览器存在多个远程命令执行漏洞并公布了POC，攻击者可利用该漏洞构造特殊的web页面，诱导被攻击者访问，从而达到远程命令执行的目的。

漏洞影响版本：

1.Google Chrome浏览器最新正式版（90.0.4430.72）和以下相关版本。

2.Microsoft Edge正式版（89.0.774.77）和以下相关版本。

3.使用Chromium内核的其他浏览器（360安全浏览器、遨游浏览器、搜狗浏览器、极速浏览器等）。

应对建议：

1.参照各浏览器厂商的官方指导尽快升级至安全版本。

        2.在任何情况下都避免打开来历不明的网页链接以及避免点击来源不明的邮件附件。

关于Windows版本微信受Chromium浏览器内核安全漏洞影响

钓鱼攻击的风险预警的通知

近日发现，Chromium内核浏览器存在多个远程命令执行漏洞，微信内置浏览器基于该内核，也受漏洞影响，腾讯公司已发布通告，通告链接：https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ。经分析，微信内置浏览器关闭了沙箱模式，漏洞利用难度降低，用户在微信中打开攻击者构造的钓鱼链接时，可触发漏洞，导致PC被植入木马。专业机构监测发现，已有攻击者利用微信（PC版）对用户实施钓鱼攻击。

处置措施：

1.提高安全意识，避免在微信（PC版）点击可疑链接。

2.目前微信已修复此漏洞并发布了更新版本，尽快升级微信（PC版）至最新安全版本。

关于排查华天动力协同OA办公系统管理员账户弱口令的风险预警的通知

        国家计算机网络应急技术处理协调中心云南分中心（以下简称云南互联网应急中心）通过综合分析近期省内外弱口令风险事件，发现部分版本的华天动力协同OA办公系统管理员账户的默认口令为弱口令（账户名为administrator/admin，默认口令为123456），其政务OA产品在国内广泛使用，涉及大量企业及政府单位用户。

因OA系统往往存有政务文档内容，工作人员职务及联系方式等个人信息，建议各单位尽快开展本单位及下属单位的排查，修改默认口令，防患于未然。

注：使用玉溪市智慧政务协同工作平台的单位不涉及此漏洞。