国外安全研究团队发现了Chrome高危0day漏洞(CVE-2019-5786)与另一未公布的Windows平台0day漏洞的组合利用样本，黑客通过组合两枚漏洞实现攻击。

国外的安全研究人员在野外检测到多个PDF恶意样本。这些样本利用了Chrome浏览器的0day漏洞，以实现追踪用户并悄悄某些收集用户信息的目的。

22个PDF阅读器应用程序和7个在线验证服务中存在PDF签名伪造漏洞，这些漏洞可被利用来对PDF文档的数字签名进行未经授权的更改，但不会使其无效。

Drupal 官方披露了一个 Drupal 的远程命令执行漏洞，漏洞的触发条件为开启了 RESTful Web Services，且允许 POST / PATCH 请求。

本月微软安全公告日，微软的消息与协作系统Exchange Server再被披露出一组高危提权漏洞CVE-2019-0686和CVE-2019-0724。这组提权漏洞是源于2018年11月被微软公布但实际上未被真正修复的Exchange Server高危漏洞CVE-2018-8581。

漏洞曝光时间：2019-01-11漏洞风险程度：高危漏洞曝光程度：已经存在野外利用受漏洞影响软件以及版本： ThinkPHP 5.0.x ~ 5.0.23缓解或修复方案： 参照官方在github中的更新：https://github.com/top-think/framework/commit/4a

ThinkPHP是一款运用极广的PHP开发框架。其版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。

漏洞曝光时间：2018-10-17漏洞风险程度：高危漏洞曝光程度：已经存在野外利用受漏洞影响软件以及版本： 10.3.6.012.1.3.012.2.1.212.2.1.3缓解或修复方案： Oracle官方已经在本次的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。漏