首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第17周

發布時間 2020-04-28

> 本周安全態勢綜述


2020年04月20日至26日共收錄安全漏洞54個,值得關注的是Apple macOS Mail Javascript代碼執行漏洞; Google Chrome payments內存錯誤引用代碼執行漏洞;Sonatype Nexus Repository Manager權限提升漏洞;通達OA任意用戶登錄漏洞;Contiki-NG越界寫代碼執行漏洞。


本周值得關注的網絡安全事件是加拿大兒童游戲網站Webkinz近2300萬用戶數據泄露;FPGA芯片Starbleed漏洞,影響賽靈思多個產品;CNCERT發布《2019年我國互聯網網絡安全態勢綜述》報告;研究人員披露IBM企業安全軟件中的4個0day;微軟發布緊急更新,修復Office和Paint 3D中多個漏洞。


根據以上綜述,本周安全威脅為中。


>重要安全漏洞列表


1. Apple macOS Mail Javascript代碼執行漏洞


Apple macOS Mail存在代碼注入漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意JavaScript代碼。。

https://support.apple.com/en-us/HT211100


2. Google Chrome payments內存錯誤引用代碼執行漏洞


Google Chrome payments存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可進行拒絕服務攻擊或以應用程序上下文執行任意碼。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html


3. Sonatype Nexus Repository Manager權限提升漏洞


Sonatype Nexus Repository Manager實現存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可提升特權,進行創建,修改,執行任務。

https://support.sonatype.com/hc/en-us/articles/360046233714


4. 通達OA任意用戶登錄漏洞


通達OA登錄實現存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以任意用戶上下文登錄。

https://cert.#/warning/detail?id=d2689a877c01a9712d148317c2da21a2


5. Contiki-NG越界寫代碼執行漏洞


Contiki-NG os/net/ipv6/sicslowpan.c在處理6LoWPAN分片重組存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://github.com/contiki-ng/contiki-ng/pull/972


> 重要安全事件綜述


1、加拿大兒童游戲網站Webkinz近2300萬用戶數據泄露



加拿大著名玩具公司Ganz旗下的兒童游戲網站Webkinz遭到黑客入侵,近2300萬玩家的用戶名和密碼泄露,其中泄露的密碼使用了MD5-Crypt算法加密。據ZDNet報道,黑客是利用網站中的SQL注入漏洞入侵游戲數據庫的,據稱該漏洞的細節已在黑客論壇中傳播了幾個月。黑客可能還盜取了哈希加密的電子郵件地址。消息人士稱Webkinz員工已經修復了黑客使用的漏洞,但Ganz尚未對此事件進行回應。


原文鏈接:

https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/


2、FPGA芯片Starbleed漏洞,影響賽靈思多個產品



研究人員發現FPGA芯片存在Starbleed漏洞,影響了賽靈思7系列的Spartan、Artix、Kintex、Virtex子系列多個產品。由于漏洞為硬件級別漏洞,因而只能通過更換芯片來修復漏洞。安全研究人員發現可以通過解密被加密的比特流來訪問和修改用于編程的文件。因此,黑客可以利用該漏洞完全控制FPGA芯片,并且可能盜取比特流中的知識產權。德國Max Planck研究所的Christof Paar教授表示,攻擊者甚至可以進行遠程攻擊,或是向FPGA芯片植入硬件木馬。


原文鏈接:

https://www.helpnetsecurity.com/2020/04/20/starbleed-vulnerability/


3、CNCERT發布《2019年我國互聯網網絡安全態勢綜述》報告



國家互聯網應急中心(CNCERT)于2020年4月20日發布了《2019年我國互聯網網絡安全態勢綜述》報告。該報告立足于CNCERT網絡安全宏觀監測數據與工作實踐報告,涉及2019年典型網絡安全事件、網絡安全新趨勢及日常網絡安全事件應急處置實踐等內容。報告主要包含四個部分,一是總結2019年我國互聯網網絡安全狀況,二是預測2020年網絡安全熱點,三是結合網絡安全態勢分析提出對策建議,四是梳理網絡安全監測數據。該報告對我國黨政機關、行業企業及全社會了解我國網絡安全形勢,提高網絡安全意識,做好網絡安全工作提供了有力參考。


原文鏈接:

http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm


4、研究人員披露IBM企業安全軟件中的4個0day



安全研究人員在分析IBM Data Risk Manager(IDRM)時發現了4個0day,分別為身份驗證繞過漏洞、命令注入漏洞、不安全的默認密碼漏洞以及任意文件下載漏洞。這些漏洞可以單獨使用也可以組合使用,組合使用前三個漏洞可以使攻擊者以root權限遠程執行代碼,組合使用第一個和第四個漏洞可以使未授權的攻擊者下載任意文件。漏洞的披露者Ribeiro表示,IDRM是處理敏感信息的企業安全產品,如果其遭到攻擊會導致公司利益嚴重受損,因此在IBM拒絕接受漏洞報告后選擇將其發布出來。目前,IBM公司修復了IDRM2.0.1及更高版本中的任意文件下載漏洞和命令注入漏洞,并且正在調查身份驗證繞過漏洞。


原文鏈接:

https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/


5、微軟發布緊急更新,修復Office和Paint 3D中多個漏洞



Microsoft發布了緊急安全更新,以修復使用了Autodesk FBX庫的Microsoft產品,包括多個版本的Microsoft Office和Windows 10應用程序Paint 3D。本次修復的漏洞為FBX庫中的遠程執行代碼漏洞,攻擊者利用此漏洞可以獲得與本地用戶相同的權限,Autodesk在4月15日推出了針對此漏洞的補丁程序。Microsoft表示,黑客必須誘使用戶打開其特制的3D文件才可以成功利用此漏洞,因此,在安全更新之前用戶需要遠離那些可疑文件以保證安全。


原文鏈接:

https://news.softpedia.com/news/microsoft-releases-emergency-update-for-windows-10-app-microsoft-office-529800.shtml

上一篇 下一篇