10大安全软件爆漏洞

最近IThome新闻报导，
10大安全软件爆漏洞，可被骇客利用对使用者发动攻击
相关新闻报导链结

其中Fortinet被揭露为CVE-2020-9290
经查都是与线上安装FortClient有关
目前均已修补漏洞，说明如下：

FortiClient安装程序DLL劫持漏洞
概要：
FortiClient在线安装程序中的多个不安全搜索路径漏洞可能使攻击者可以控制安装程序所在的目录，从而通过在该目录中上载恶意的.dll文件来执行系统上的任意代码。

影响力：
未经授权的代码执行。

受影响的产品：
适用於Windows 6.0.5及以下版本的FortiClient的FortiClientOnlineInstaller.exe（CVE-2019-5589）
适用於Windows 6.2.3及以下版本的FortiClient的FortiClientOnlineInstaller.exe（CVE-2020-9290）
适用於Windows 6.2.3及以下版本的FortiClient VPN的FortiClientVPNOnlineInstaller.exe（CVE-2020-9290）
FortiClient EMS 6.2.1及更低版本的FortiClientEMSOnlineInstaller.exe（CVE-2020-9287）

解决方案：
CVE-2019-5589：使用FortiClient for Windows在线安装程序6.0.6或更高版本
CVE-2020-9290：使用FortiClient for Windows在线安装程序6.2.4或更高版本，以及FortiClient VPN for Windows在线安装程序6.2.4或更高版本
CVE-2020-9287：使用FortiClient EMS在线安装程序6.2.2或更高版本

原厂FortiGuard的说明如下：
FortiClient installer DLL Hijacking Vulnerability

个人的建议处置方式

1. 请SI提供FortiClient离线安装版
2. 升级到FortiClient OS6.4.x