首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第36周

發布時間 2020-09-08

> 本周安全態勢綜述


2020年08月31日至09月06日共收錄安全漏洞56個,值得關注的是Gigadevice GD32F103代碼執行漏洞;Gigadevice GD32F103固件提取漏洞;NETGEAR R8300命令注入漏洞;Education openSIS SQL注入漏洞;Education openSIS EmailCheck.php SQL注入漏洞。


本周值得關注的網絡安全事件是工信部通報101款APP侵犯用戶權益,輕松籌等平臺上榜;挪威議會郵件系統遭攻擊,工黨和中心黨均受影響;Cisco警告其IOS XR存在0day并已被在野利用;Cisco Jabber存在遠程執行代碼漏洞,現已被修復;英特爾發布微代碼安全更新,主要適用于Win10系列。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Gigadevice GD32F103代碼執行漏洞


Gigadevice GD32F103安全保護存在安全漏洞,允許物理能訪問攻擊者可以利用漏洞提交特殊的請求,重定向控制流執行任意代碼。

https://www.usenix.org/system/files/woot20-paper-obermaier.pdf


2. Gigadevice GD32F103固件提取漏洞


Gigadevice GD32F103閃存讀出保護存在安全漏洞,允許物理能訪問攻擊者可以利用漏洞提交特殊的請求,可從調試接口獲取固件。

https://www.usenix.org/system/files/woot20-paper-obermaier.pdf


3.NETGEAR R8300命令注入漏洞


NETGEAR R8300存在輸入驗證漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://kb.netgear.com/000062158/Security-Advisory-for-Pre-Authentication-Command-Injection-on-R8300-PSV-2020-0211


4. Education openSIS SQL注入漏洞


Open Solutions for Education openSIS存在SQL注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執行任意代碼。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1081


5. Education openSIS EmailCheck.php SQL注入漏洞


Open Solutions for Education EmailCheck.php存在SQL注入漏洞,允許遠程攻擊者可以利用漏洞提交特殊的SQL請求,操作數據庫,可獲取敏感信息或執行任意代碼。。

https://talosintelligence.com/vulnerability_reports/TALOS-2020-1073


> 重要安全事件綜述


1、工信部通報101款APP侵犯用戶權益,輕松籌等平臺上榜


1.jpg


工業和信息化部官網發布關于侵害用戶權益行為的APP通報。蛋殼公寓、輕松籌、寶寶樹孕育、ZAKER新聞、網易公開課、駕考寶典、美麗說、螞蟻短租、快剪輯、360清理大師、得物、搜狐視頻、映客直播等101款APP存在侵害用戶權益行為。這些應用軟件主要涉及問題是違規收集個人信息,另外還涉及APP強制、頻繁、過度索取權限,強制用戶使用定向推送功能,超范圍收集個人信息等問題。


原文鏈接:

http://tech.cnr.cn/techgd/20200831/t20200831_525234083.shtml


2、挪威議會郵件系統遭攻擊,工黨和中心黨均受影響


2.jpg


挪威議會(Storting)發布聲明,表示有黑客攻擊其成員的電子郵件帳戶并竊取數據。該事件正在調查中,目前尚不清楚被盜數據的數量、種類以及攻擊的破壞程度。挪威工黨的Jarle RoheimH?konsen證實,工黨成員和政客在這次攻擊中均受到影響,同時中心黨也確認其代表和員工受到了影響。


原文鏈接:

https://www.bleepingcomputer.com/news/security/hackers-breached-norwegian-parliament-emails-to-steal-data/


3、Cisco警告其IOS XR存在0day并已被在野利用


3.jpg


思科上周六警告說,其IOS XR存在一個新的0day,目前已被黑客在野利用。該漏洞被跟蹤CVE-2020-3566,影響了操作系統IOS XR版本附帶的距離矢量組播路由協議(DVMRP)功能,該版本的操作系統通常安裝在電信級和數據中心路由器上。思科表示,該漏洞是由于Internet組管理協議(IGMP)數據包的隊列管理不足所致,攻擊者可以通過發送特制的IGMP流量來利用此漏洞。成功利用該漏洞可導致內存耗盡,從而導致其他進程(如內部和外部路由協議)不穩定。


原文鏈接:

https://www.zdnet.com/article/cisco-warns-of-actively-exploited-ios-xr-zero-day/


4、Cisco Jabber存在遠程執行代碼漏洞,現已被修復


4.jpg


Watchcom的Olav Sortland Thoresen發現Windows版Cisco Jabber中存在嚴重的代碼執行漏洞,現已被修復。該漏洞被跟蹤為CVE-2020-3495, CVSS為9.9分,是由于傳入消息內容的輸入驗證不正確引起的。經過身份驗證的遠程攻擊者可以使用惡意的可擴展消息和狀態協議(XMPP)消息利用該漏洞,成功利用后攻擊者可在目標系統上執行任意程序。思科產品安全事件響應小組(PSIRT)表示,該漏洞目前尚未被廣泛利用。


原文鏈接:

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-code-execution-bug-in-jabber-for-windows/


5、英特爾發布微代碼安全更新,主要適用于Win10系列


5.jpg


Microsoft發布了Intel微代碼更新,以修復Intel CPU中的硬件漏洞。此次更新發布了八個可選更新,主要針對Windows 10 2004、1909、1903、1809、1803、1709、1703和1607等版本,修復了Amber Lake、Avoton、Broadwell和Cascade Lake等56款CPU中漏洞。此外,英特爾微碼更新并不能通過Windows Update安裝,必須手動安裝。


原文鏈接:

https://www.bleepingcomputer.com/news/microsoft/new-intel-microcode-updates-for-windows-10-fix-cpu-hardware-bugs/


上一篇 下一篇