首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第23周

發布時間 2020-06-09

> 本周安全態勢綜述


2020年06月01日至06月07日共收錄安全漏洞79個,值得關注的是Zoom Client處理動畫GIF消息路徑遍歷漏洞;Cisco 829 Industrial Integrated Services Routers緩沖區溢出漏洞;NEC ESMPRO Manager RMI反序列化代碼執行漏洞;IBM WebSphere Application Server Network Deployment遠程代碼執行漏洞;Docker Engine中間人攻擊漏洞。


本周值得關注的網絡安全事件是俄羅斯黑客攻擊波蘭政府機構,發布有關北約演習虛假信息;視頻剪輯應用VivaVideo或為間諜軟件,影響超過1.57億用戶;印度支付應用BHIM因配置錯誤,泄露數百萬用戶信息;DopplePaymer表示已成功入侵DMI并竊取NASA的相關文件;Mozilla發布Firefox安全更新,修復多個任意代碼執行漏洞。


根據以上綜述,本周安全威脅為中。



>重要安全漏洞列表


1.Zoom Client處理動畫GIF消息路徑遍歷漏洞


Zoom Client處理包含動畫GIF的消息存在目錄遍歷漏洞,允許遠程攻擊者利用漏洞提交特殊的消息請求,可以目標用戶上下文執行任意代碼,或整個組用戶受影響。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1055


2. Cisco 829 Industrial Integrated Services Routers緩沖區溢出漏洞


Cisco 829 Industrial Integrated Services Routers管理inter-VM信號存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或者可以應用程序上下文執行任意代碼。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-iot-rce-xYRSeMNH


3. NEC ESMPRO Manager RMI反序列化代碼執行漏洞


NEC ESMPRO Manager RMI服務存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-20-684/


4. IBM WebSphere Application Server Network Deployment遠程代碼執行漏洞


IBM WebSphere Application Server Network Deployment存在未明安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.ibm.com/blogs/psirt/security-bulletin-remote-code-execution-vulnerability-in-websphere-application-server-nd-cve-2020-4448/


5. Docker Engine中間人攻擊漏洞


Docker Engine所創建的網絡連接會默認接收IPv6路由器通告,允許遠程攻擊者可以利用漏洞提交特殊的請求,可進行中間人攻擊,可獲取敏感信息。

https://github.com/docker/docker-ce/releases/v19.03.11



> 重要安全事件綜述


1、俄羅斯黑客攻擊波蘭政府機構,發布有關北約演習虛假信息



原文鏈接:

https://www.ehackingnews.com/2020/05/russian-hackers-attacked-poland-due-to.html


2、視頻剪輯應用VivaVideo或為間諜軟件,影響超過1.57億用戶



原文鏈接:

https://latesthackingnews.com/2020/05/31/vivavideo-and-other-apps-with-over-157-million-installs-spy-on-users/


3、印度支付應用BHIM因配置錯誤,泄露數百萬用戶信息



原文鏈接:

https://www.infosecurity-magazine.com/news/indian-payment-app-bhim-data-breach/


4、DopplePaymer表示已成功入侵DMI并竊取NASA的相關文件



原文鏈接:

https://www.zdnet.com/article/ransomware-gang-says-it-breached-one-of-nasas-it-contractors/


5、Mozilla發布Firefox安全更新,修復多個任意代碼執行漏洞



原文鏈接:

https://www.theregister.com/2020/06/04/firefox_77_security_fixes/

上一篇 下一篇