首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第43周

發布時間 2020-10-26

> 本周安全態勢綜述


2020年10月19日至10月25日共收錄安全漏洞82個,值得關注的是Adobe Illustrator內存破壞CVE-2020-24412代碼執行漏洞;Mozilla Firefox usersctp內存錯誤引用代碼執行漏洞;Oracle Solaris CVE-2020-14871未明遠程代碼執行漏洞;HPE Intelligent Management Center UrlAccessController驗證繞過漏洞;VMware ESXi OpenSLP內存錯誤引用代碼執行漏洞。


本周值得關注的網絡安全事件是Hiscox發布2020年度Cyber Readiness分析報告;Discord修復其桌面應用中可導致遠程代碼執行的漏洞;Google發布Chrome安全更新,修復已被利用的0day;Rapid7披露10個針對七款瀏覽器應用的地址欄欺騙漏洞;Sophos發現LockBit可使用自動攻擊工具來識別可疑目標。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Adobe Illustrator內存破壞CVE-2020-24412代碼執行漏洞


Adobe Illustrator存在內存破壞漏洞,允許遠程攻擊者可以利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://helpx.adobe.com/security/products/illustrator/apsb20-53.html


2.Mozilla Firefox usersctp內存錯誤引用代碼執行漏洞


Mozilla Firefox usersctp庫存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/


3.Oracle Solaris CVE-2020-14871未明遠程代碼執行漏洞


Oracle Solaris協議處理存在未明安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以系統上下文執行任意代碼。

https://www.oracle.com/security-alerts/cpuoct2020.html


4.HPE Intelligent Management Center UrlAccessController驗證繞過漏洞


HPE Intelligent Management Center UrlAccessController存在驗證繞過漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us


5.VMware ESXi OpenSLP內存錯誤引用代碼執行漏洞


VMware ESXi OpenSLP服務存在釋放后使用漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://www.vmware.com/security/advisories/VMSA-2020-0023.html


> 重要安全事件綜述


1、Hiscox發布2020年度Cyber Readiness分析報告


1.jpg


Hiscox發布2020年度Cyber Readiness分析報告,發現過去一年中全球網絡損失增長了近六倍。該報告顯示,受影響公司的總損失為18億美元,比去年的12億美元增長了50%。報告中有6%以上的受訪者支付了贖金,損失總計為3.81億美元。據統計,惡意軟件、勒索軟件、企業電子郵件泄露和分布式拒絕服務(DDoS)仍然是最常用的攻擊媒介,而DDoS攻擊也成了勒索軟件攻擊的另一種形式。


原文鏈接:

https://www.hiscox.co.uk/sites/uk/files/documents/202006/Hiscox_Cyber_Readiness_Report_2020_UK.PDF


2、Discord修復其桌面應用中可導致遠程代碼執行的漏洞


2.jpg


Discord已修復桌面版應用程序中的一個關鍵漏洞,可導致遠程代碼執行(RCE)攻擊。該漏洞存在于Discon桌面應用程序使用的軟件框架Electron中,其contextIsolation被設置為false,這允許應用程序外部的JavaScript代碼影響內部代碼,例如web頁面外部的JavaScript代碼使用node.js功能。該漏洞被追蹤為CVE-2020-15174,與其他兩個漏洞結合利用可繞過導航限制并使用iframe XSS漏洞訪問包含惡意代碼的網頁來執行RCE攻擊。


原文鏈接:

https://www.zdnet.com/article/discord-desktop-app-vulnerable-to-remote-code-execution-bug/


3、Google發布Chrome安全更新,修復已被利用的0day


3.jpg


Google發布了Chrome版本86.0.4240.111的安全更新,修復已被在野利用的0day。該漏洞被追蹤為CVE-2020-15999,是FreeType字體渲染庫中的內存損壞漏洞。谷歌Project Zero的研究人員發現了利用此FreeType漏洞進行的野外攻擊,但是有關該漏洞的利用活動的詳細信息尚未公開。這是在過去一年來的第三個被在野利用的Chrome 0day,前兩個是CVE-2019-13720(2019年10月)和CVE-2020-6418(2020年2月)。


原文鏈接:

https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/


4、Rapid7披露10個針對七款瀏覽器應用的地址欄欺騙漏洞


4.jpg


網絡安全公司Rapid7披露了10個針對七款瀏覽器應用的地址欄欺騙漏洞。此次披露的漏洞分別為UC瀏覽器中的CVE-2020-7363和CVE-2020-7364、Opera Mini和Opera Touch中的CVE TBD-Opera、Yandex瀏覽器中的CVE-2020-7369、Bolt瀏覽器中的CVE-2020-7370、RITS瀏覽器中的CVE-2020-7371和Apple Safari中的CVE-2020-9987。該問題于今年年初被發現,并于8月報告給制造商,目前大型廠商立即進行了修復,而小型廠商仍無人理會。


原文鏈接:

https://www.zdnet.com/article/seven-mobile-browsers-vulnerable-to-address-bar-spoofing-attacks/


5、Sophos發現LockBit可使用自動攻擊工具來識別可疑目標


5.jpg


Sophos發布報告,稱LockBit可使用自動攻擊工具來識別可疑目標。研究人員通過分析一年前出現的樣本,發現LockBit已經迅速成熟,并采用了一些新的方法來繞過Windows用戶帳戶控制(UAC)來提升特權。此外,LockBit可使用PowerShell和Windows的VBscript主機的重命名副本以及基于PowerShell滲透測試工具的腳本,來搜索包含有價值數據的系統,以攻擊小型組織。


原文鏈接:

https://news.sophos.com/en-us/2020/10/21/lockbit-attackers-uses-automated-attack-tools-to-identify-tasty-targets/

上一篇 下一篇