关键漏洞信息汇总 漏洞概述 漏洞描述: 明正昊(Mingzheng Li)在西门子的 SIMATIC WinCC 和 SIMATIC PCS 7 中发现了一个 ActiveX 漏洞。 危害: 该漏洞可被远程利用,可能导致组件崩溃或泄露应用内存内容。 受影响产品 SIMATIC WinCC: 所有版本低于 V7.2 SIMATIC PCS 7: 所有版本低于 V8.0 SP1 漏洞详情 CVE 编号: CVE-2016-9160 CVSS 分数: 4.2 漏洞利用方式: 该漏洞无法在无用户交互的情况下被远程利用,需要本地用户点击恶意链接。 存在的利用代码: 没有已知针对该漏洞的公共利用代码。 缓解措施 使用 SIEMENS 提供的新版软件:SIMATIC WinCC 7.2 或更新版本,以及 SIMATIC PCS 7 V8.0 SP2 或更新版本。 在升级前,SIEMENS 推荐仅在受信任的站点上执行 ActiveX 组件,并应用纵深防御概念。 参考链接 SIEMENS 安全咨询链接: http://www.siemens.com/cert/en/cert-security-advisories.htm SIEMENS 工业安全性操作指南: https://www.siemens.com/cert/operational-guidelines-industrial-security