首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第22周

發布時間 2020-06-01

> 本周安全態勢綜述


2020年05月25日至05月31日共收錄安全漏洞58個,值得關注的是TrendMicro InterScan Web Security Virtual Appliance LogSettingHandler命令注入漏洞; IBM Security Identity Governance and Intelligence未授權命令執行漏洞;Apple macOS Catalina FontParser代碼執行漏洞;Inductive Automation Ignition反序列化代碼執行漏洞;Ubiquiti Networks AirOS OS命令注入漏洞。


本周值得關注的網絡安全事件是美國CISA、DOE和英國的NCSC聯合發布《ICS網絡安全最佳實踐》;黑客組織Maze攻擊哥斯達黎加銀行,竊取其信用卡信息;泰國移動運營商AIS存在安全問題,泄露83億條用戶記錄;Android漏洞StrandHogg 2.0被披露,影響超過10億臺設備;Apple發布安全更新,修復macOS和Safari中50多漏洞。


根據以上綜述,本周安全威脅為中。



>重要安全漏洞列表


1.Trend Micro InterScan Web Security Virtual Appliance LogSettingHandler命令注入漏洞


Trend Micro InterScan Web Security Virtual Appliance LogSettingHandler類解析mount_device參數時存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可執行任意命令。

https://www.zerodayinitiative.com/advisories/ZDI-20-676/


2. IBM Security Identity Governance and Intelligence未授權命令執行漏洞


IBM Security Identity Governance and Intelligence存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權執行命令。

https://www.ibm.com/blogs/psirt/security-bulletin-ibm-has-announced-a-release-for-ibm-security-identity-governance-and-intelligence-in-response-to-a-security-vulnerability-cve-2020-4231/


3. Apple macOS Catalina FontParser代碼執行漏洞


Apple macOS Catalina FontParser存在安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的PDF文件請求,可越界寫,以應用程序上下文執行任意代碼。

https://support.apple.com/zh-cn/HT211170


4. Inductive Automation Ignition反序列化代碼執行漏洞


Inductive Automation Ignition存在反序列化漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.us-cert.gov/ics/advisories/icsa-20-147-01


5. Ubiquiti Networks AirOS OS命令注入漏洞


Ubiquiti Networks AirMax AirOS存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可注入任意命令并執行。

https://community.ui.com/releases/Security-advisory-bulletin-011-011/d0d411a5-6dcb-4988-9709-d57f50957261



> 重要安全事件綜述


1、美國CISA、DOE和英國的NCSC聯合發布《ICS網絡安全最佳實踐》



原文鏈接:

https://www.us-cert.gov/ncas/current-activity/2020/05/22/cisa-doe-and-uks-ncsc-issue-guidance-protecting-industrial-control


2、黑客組織Maze攻擊哥斯達黎加銀行,竊取其信用卡信息




原文鏈接:

https://www.bleepingcomputer.com/news/security/hackers-leak-credit-card-info-from-costa-ricas-state-bank/


3、泰國移動運營商AIS存在安全問題,泄露83億條用戶記錄



原文鏈接:

https://techcrunch.com/2020/05/24/thai-billions-internet-records-leak/


4、Android漏洞StrandHogg 2.0被披露,影響超過10億臺設備



原文鏈接:

https://www.bleepingcomputer.com/news/security/critical-android-bug-lets-malicious-apps-hide-in-plain-sight/


5、Apple發布安全更新,修復macOS和Safari中50多漏洞



原文鏈接:

https://www.securityweek.com/apple-patches-over-40-vulnerabilities-macos-catalina

上一篇 下一篇