首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第45周

發布時間 2019-11-18

>本周安全態勢綜述



2019年11月11日至17日共收錄安全漏洞48個,值得關注的是Microsoft Windows OpenType字體解析CVE-2019-1456遠程執行代碼漏洞; eQ-3 Homematic CCU3 testtcl.cgi代碼執行漏洞;SAP Diagnostics Agent任意OS命令注入漏洞;Istio拒絕服務漏洞;Adobe Illustrator CVE-2019-8248內存破壞任意代碼執行漏洞。


本周值得關注的網絡安全事件是托管服務商SmarterASP.NET遭勒索軟件攻擊;俄羅斯新法案強制手機和PC預安裝本國軟件;5G新漏洞可跟蹤電話位置及廣播虛假警報;McAfee殺毒軟件代碼執行漏洞(CVE-2019-3648);高通芯片組QSEE漏洞可致Android設備數據泄露。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Microsoft Windows OpenType字體解析CVE-2019-1456遠程執行代碼漏洞
Microsoft Windows OpenType字體解析處理Opentype字體存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,可使應用程序崩潰或執行任意代碼。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1456

2. eQ-3 Homematic CCU3 testtcl.cgi代碼執行漏洞
eQ-3 Homematic CCU3 save.cgi腳本可用來上傳腳本并被testtcl.cgi腳本執行,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意代碼。
https://psytester.github.io/CVE-2019-18938/

3. SAP Diagnostics Agent任意OS命令注入漏洞
SAP Diagnostic Agent存在未明安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可執行任意OS命令。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528880390

4. Istio拒絕服務漏洞
Istio存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰。
https://github.com/istio/istio/issues/18229

5. Adobe Illustrator CVE-2019-8248內存破壞任意代碼執行漏洞
Adobe Illustrator處理文件存在內存破壞漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,可執行任意代碼或者進行拒絕服務攻擊。
https://helpx.adobe.com/security/products/illustrator/apsb19-36.html


>重要安全事件綜述


1、托管服務商SmarterASP.NET遭勒索軟件攻擊



SmarterASP.NET是一家擁有超過44萬個客戶的ASP.NET托管服務商,該公司在周末遭到勒索軟件攻擊。當前SmarterASP.NET表示正在努力恢復客戶的服務器,但不清楚該公司是支付了贖金還是在從備份中恢復。此次攻擊中不僅客戶數據受到影響,而且SmarterASP.NET本身亦受影響。該公司的網站在星期六全天都下線,直到星期天早上才重新上線。服務器恢復工作進展緩慢,許多客戶仍然無法訪問其賬戶和數據,包括網站文件和后端數據庫。根據在Twitter上發布的截圖,被加密的客戶文件后附加了“.kjhbx”擴展名,目前研究人員仍在試圖確認勒索軟件的種類。

原文鏈接:
https://www.zdnet.com/article/major-asp-net-hosting-provider-infected-by-ransomware/

2、俄羅斯新法案強制手機和PC預安裝本國軟件



俄羅斯議會正在推動一項立法,該法案將強制要求所有在俄羅斯銷售的電子設備(包括智能手機、PC和智能電視等)預安裝本國科技公司的應用。這可能會帶來安全隱患。立法者表示該法案是為了保護本地的技術市場免受外國(可能是指美國)的競爭。政府將針對每種設備類型發布一份軟件列表,設備供應商需要在俄羅斯銷售的設備上預安裝這些軟件。如果供應商不遵守規定,將被處以最高20萬盧布(約合3100美元)的罰款。該法案得到了所有主要政黨的支持,這意味著它很有可能將在2020年7月1日生效。

原文鏈接:
https://www.zdnet.com/article/phones-and-pcs-sold-in-russia-will-have-to-come-pre-installed-with-russian-apps/

3、5G新漏洞可跟蹤電話位置及廣播虛假警報



普渡大學(Purdue University)和愛荷華大學(University of Iowa)的安全研究人員發現將近12個5G安全漏洞,研究人員表示這些漏洞可允許攻擊者獲取目標用戶電話的新/舊臨時網絡標識符,從而跟蹤電話的位置,甚至劫持尋呼信道進行虛假的緊急警報廣播。在某些情況下,這些漏洞可能被用來將蜂窩連接降級為不太安全的標準。一些新的攻擊也可能在現有的4G網絡上被利用。鑒于漏洞的性質,研究人員表示他們不打算公開其PoC代碼,但他們將這些發現通知了全球蜂窩網絡GSM協會(GSMA)。GSMA沒有透露是否可以修復漏洞,也沒有透露修復時間。


原文鏈接:

https://finance.yahoo.com/news/5g-flaws-track-phone-locations-163014364.html

4、McAfee殺毒軟件代碼執行漏洞(CVE-2019-3648)


SafeBreach Labs發現McAfee防病毒軟件受代碼執行漏洞(CVE-2019-3648)的影響,攻擊者可繞過McAfee的自衛機制,可能導致對受感染系統的進一步攻擊。該漏洞是由于未驗證加載DLL的簽名導致的,攻擊者可將任意未簽名的DLL加載到以NT AUTHORITY\SYSTEM權限運行的多個服務中。該攻擊還可以繞過應用程序白名單保護并避免被安全軟件檢測到。


原文鏈接:

https://www.zdnet.com/article/mcafee-antivirus-software-impacted-by-code-execution-vulnerability/

5、高通芯片組QSEE漏洞可致Android設備數據泄露



根據安全廠商CheckPoint的一份報告,高通芯片組中的安全執行環境(QSEE)中存在漏洞(CVE-2019-10574),可導致Android設備中的個人數據泄露。QSEE是基于ARM TrustZone技術的受信任執行環境(TEE)的實現,是主處理器上的一個硬件隔離的安全區域,其中通常包含專用加密密鑰、密碼、信用卡和借記卡憑據等敏感信息。Check Point研究人員逆向了該系統,并利用模糊測試對三星、LG和摩托羅拉設備進行了測試??傮w而言,研究人員發現三星的受信任代碼包含四個漏洞,摩托羅拉和LG分別包含一個漏洞,但所有代碼均來自高通公司。三星、高通和LG已針對這些QSEE漏洞發布了補丁更新。

原文鏈接:
https://thehackernews.com/2019/11/qualcomm-android-hacking.html

上一篇 下一篇