根据影响范围、危害程度等因素，筛选近期各大漏洞数据库公开披露的风险较大的漏洞，可依据此表进行安全风险识别、风险自查和漏洞修补。

汇总列表如下：

序号	漏洞名称	等级	公开时间
3.1	WPS Office 远程代码执行(CVE-2024-7262、CVE-2024-7263)	严重	2024-08-15
3.2	Apache OFBiz 授权不当致代码执行漏洞（CVE-2024-38856）	高危	2024-08-05
3.3	Roundcube Webmail多个XSS高危漏洞安全风险通告（CVE-2024-42008、CVE-2024-42009）	高危	2024-08-06
3.4	Google Chrome ANGLE越界访问漏洞 (CVE-2024-7532)	高危	2024-08-07
3.5	微软RDL服务远程代码执行漏洞 (CVE-2024-38077)	高危	2024-08-09
3.6	Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞 (CVE-2024-38063)	高危	2024-08-13
3.7	Google Chrome V8类型混淆漏洞 (CVE-2024-7971)	高危	2024-08-21

 

3.1 WPS Office 远程代码执行(CVE-2024-7262、CVE-2024-7263)

公开时间：2024-08-15
漏洞等级：严重
漏洞类型：代码执行
漏洞利用细节是否公开：未公开
漏洞概述：
漏洞位置均在WPS Office的promecefpluginhost.exe组件中，由于不恰当的路径验证，攻击者能够加载并执行任意的Windows库文件。
影响范围：
CVE-2024-7262漏洞
WPS Office 版本：12.2.0.13110（含）~ 12.2.0.16412（不含）
 
CVE-2024-7263漏洞
WPS Office 版本：12.2.0.13110（含）~ 12.2.0.17153（不含）
安全建议：
更新WPS版本为最新版本。
 

3.2 Apache OFBiz 授权不当致代码执行漏洞（CVE-2024-38856）

公开时间：2024-08-05
漏洞等级：高危
漏洞类型：代码执行
漏洞利用细节是否公开：已公开
漏洞概述：
Apache OFBiz 是一个用于企业资源规划（ERP）的开源框架，它包含满足常见业务需求的 Web 应用程序，例如人力资源、会计、库存管理、客户关系管理、营销等。
CVE-2024-38856的主要是ControlServlet和RequestHandler函数收到了不同的端点来处理,通过路径绕过导致的未授权漏洞
影响范围：
Apache OFBiz <= 18.12.14
安全建议：
目前官方已有可更新版本，建议受影响用户升级至最新版本：
Apache OFBiz >= 18.12.15
官方补丁下载地址：https://ofbiz.apache.org/download.html
 

3.3 Roundcube Webmail多个XSS高危漏洞安全风险通告（CVE-2024-42008、CVE-2024-42009）

公开时间：2024-08-06
漏洞等级：高危
漏洞类型：代码执行
漏洞利用细节是否公开：未公开
漏洞概述：
Roundcube Webmail 是一款开源的网页邮件客户端。
受影响版本中的 rcmail_action_mail_get->run() 方法中存在XSS漏洞，攻击者可发送带有恶意 Content-Type 标头附件的邮件，当用户点击邮件时可窃取邮箱中的邮件信息，当用户重新登陆系统时可窃取其账户密码。
影响范围：
Roundcube Webmai < 1.6.8
Roundcube Webmai < 1.5.8
安全建议：
目前官方已发布更新补丁，请及时升级至最新版本：
https://github.com/roundcube/roundcubemail/releases
 

3.4 Google Chrome ANGLE越界访问漏洞 (CVE-2024-7532)

公开时间：2024-08-07
漏洞等级：高危
漏洞类型：代码执行、拒绝服务
漏洞利用细节是否公开：未公开
漏洞概述：
Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件。Chrome使用的2D/3D图形渲染引擎ANGLE中存在越界内存访问漏洞，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码或导致浏览器崩溃。
影响范围：
Google Chrome(Windows/Mac) < 127.0.6533.99/.100
Google Chrome(Linux) < 127.0.6533.99
安全建议：
目前官方已发布安全更新，建议用户尽快升级至最新版本：
Google Chrome(Windows/Mac) >= 127.0.6533.99/.100
Google Chrome(Linux) >= 127.0.6533.99
官方补丁下载地址：
https://www.google.cn/chrome/
 

3.5 微软RDL服务远程代码执行漏洞 (CVE-2024-38077)

公开时间：2024-08-09
漏洞等级：高危
漏洞类型：代码执行
漏洞利用细节是否公开：已公开
漏洞概述：
CVE-2024-38077 是 Windows 远程桌面授权服务（RDL）中的一个堆溢出漏洞。该漏洞在解码用户输入的许可密钥包时，未正确验证解码后的数据长度与缓冲区大小之间的关系，从而导致缓冲区溢出。这使得攻击者可以通过发送特制的数据包，在目标服务器上执行任意代码。
影响范围：
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
安全建议：
升级修复方案：
1. 使用 Windows 自动更新功能，确保系统安装了 2024 年 7 月的最新安全补丁。
2. 手动安装补丁：访问微软的安全更新页面，下载并安装针对 CVE-2024-38077 的补丁。
https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2024-38077
临时缓解方案：
临时关闭远桌面授权服务（RDL）。虽然关闭 RDL 不会影响远程桌面服务，但它会限制同时运行的会话数。
 

3.6 Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞 (CVE-2024-38063)

公开时间：2024-08-13
漏洞等级：高危
漏洞类型：拒绝服务、代码执行
漏洞利用细节是否公开：未公开
漏洞概述：
Windows TCP/IP 组件中发现了一个整数下溢漏洞，可能会触发缓冲区溢出。未经身份验证的远程攻击者可以通过发送特制的 IPv6 数据包到目标Windows系统机器导致目标蓝屏崩溃，精心构造请求理论上存在远程代码执行的可能性。
影响范围：
Windows 10 版本 1607及更高版本
Windows Server 2016 及更高版本
Windows 11 所有版本
安全建议：
缓解措施：
对于 IPv6 并非必不可少的系统，禁用它可以作为临时缓解措施，直到完全应用补丁。但是，最好的做法仍然是及时部署提供的安全更新。
禁用IPv6的步骤：
1、打开“设置”>“网络和Internet”>“更改适配器选项”。
2、根据自己的电脑连接的是有线网络还是无线网络，找到并点击“本地连接”或“无线网络连接”。然后点击“属性”。
3、在弹出窗口中选择“禁用”IPv6选项。
4、点击“保存”并重启电脑。
验证IPv6是否已禁用：
1、打开命令提示符。
2、输入“ipconfig”并回车。
3、检查网络适配器的配置，确保没有IPv6地址。
 
Windows自动更新
Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：
1、点击“开始菜单”或按Windows快捷键，点击进入“设置”
2、选择“更新和安全”，进入“Windows更新”（Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”）
3、选择“检查更新”，等待系统将自动检查并下载可用更新
4、重启计算机，安装更新
 
系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。
 
手动安装补丁
另外，对于不能自动更新的系统版本，可参考以下链接下载适用于该系统的补丁并安装：
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
 
 
 

3.7 Google Chrome V8类型混淆漏洞 (CVE-2024-7971)

公开时间：2024-08-21
漏洞等级：高危
漏洞类型：代码执行
漏洞利用细节是否公开：未公开
漏洞概述：
监测到Google 发布公告称Google Chrome V8 类型混淆漏洞(CVE-2024-7971)存在在野利用，远程攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而获取敏感信息或代码执行。
影响范围：
Google Chrome(Windows/Mac) < 128.0.6613.84/.85
Google Chrome(Linux) < 128.0.6613.84
安全建议：
Test目前官方已发布安全更新，建议用户尽快升级至最新版本：
Google Chrome(Windows/Mac) >= 128.0.6613.84/.85
Google Chrome(Linux) >= 128.0.6613.84
 
官方补丁下载地址：
https://www.google.cn/chrome/