首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第45周

發布時間 2020-11-09

> 本周安全態勢綜述


2020年11月02日至11月08日共收錄安全漏洞61個,值得關注的是Adobe Acrobat Reader CVE-2020-24435堆緩沖區溢出漏洞;Google Android高通封閉源組件遠程代碼執行漏洞;Oracle WebLogic Server Oracle Fusion Middleware Console遠程代碼執行漏洞;SaltStack Salt API任意代碼執行漏洞;Apache Shiro CVE-2020-17510授權繞過漏洞。


本周值得關注的網絡安全事件是HackerOne發布第四屆年度HACKER-POWERED安全報告;Pulse Secure發布企業推進零信任網絡的分析報告;Google發布安全更新,修復Chrome中已被利用的0day;思科披露其AnyConnect客戶端中0day,尚無相關補??;Apple發布更新,修復已被積極利用的3個0day。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Adobe Acrobat Reader CVE-2020-24435堆緩沖區溢出漏洞


Adobe Acrobat Reader處理PDF文件存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html


2.Google Android高通封閉源組件遠程代碼執行漏洞


Google Android高通封閉源組件存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://source.android.com/security/bulletin/2020-11-01


3.Oracle WebLogic Server Oracle Fusion Middleware Console遠程代碼執行漏洞


Oracle WebLogic Server Oracle Fusion Middleware Console存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的HTTP請求,可使系統崩潰或者以應用程序上下文執行任意代碼。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html


4.SaltStack Salt API任意代碼執行漏洞


SaltStack Salt API存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問任意代碼。

https://www.auscert.org.au/bulletins/ESB-2020.3863/


5.Apache Shiro CVE-2020-17510授權繞過漏洞


Apache Shiro存在授權繞過漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問應用。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E


> 重要安全事件綜述


1、HackerOne發布第四屆年度HACKER-POWERED安全報告


1.jpg


HackerOne發布第四屆年度HACKER-POWERED安全報告,稱跨站點腳本(XSS)是最常見的漏洞類型,比2019年增加了134%。報告顯示,XSS漏洞占了報告的所有漏洞的18%,總計獲得了420萬美元的獎金(比去年增加了26%)。此外,不當訪問控制漏洞所獲得的獎金額度比去年同比增長134%,高達到400萬美元,其次是信息披露漏洞,同比增長63%。這兩種方式都會泄露潛在的敏感數據,例如個人身份信息。


原文鏈接:

hackerone.com/hacker-powered-security-report


2、Pulse Secure發布企業推進零信任網絡的分析報告


2.jpg


Pulse Secure發布了有關企業推進零信任網絡的分析報告。那些推動和規劃零信任流程和技術實施方向的組織,將走在數字轉型曲線的前面。研究發現,零信任項目往往是跨學科的,匯集了安全和網絡團隊。他們通常使用三種協作方式,分別是協調不同系統之間的訪問安全控制(48%)、評估訪問安全控制需求(41%)和根據用戶、角色、數據和應用程序定義訪問需求(40%)。企業管理協會副總Shamus McGillicuddy表示,企業顯然正在加快采取零信任網絡的步伐。


原文鏈接:

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/


3、Google發布安全更新,修復Chrome中已被利用的0day


3.jpg


Google發布安全更新,修復Chrome中的10個漏洞,其中包括一個在野外已被積極利用的0day。該0day被追蹤為CVE-2020-16009,由Google的威脅分析小組(TAG)發現,但該小組并未公開關于該漏洞的詳細信息以及利用,僅表示該漏洞位于處理JavaScript代碼的Chrome組件V8中。不久后,Google又發布了Android版Chrome中的0day的補丁程序,該漏洞被追蹤為CVE-2020-16010,為Chrome for Android用戶界面(UI)組件中的堆緩沖區溢出漏洞。


原文鏈接:

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/


4、思科披露其AnyConnect客戶端中0day,尚無相關補丁


4.jpg


思科披露其AnyConnect客戶端軟件的0day,目前已有公開可用的概念驗證利用代碼,但尚無針對這個任意代碼執行漏洞的安全更新。該漏洞被追蹤為CVE-2020-3556,存在于Cisco AnyConnect Client的進程間通信(IPC)通道中,經過身份驗證的攻擊者和本地攻擊者可利用該漏洞執行惡意腳本。該漏洞影響了Windows、Linux和macOS版本的AnyConnect客戶端,盡管沒有補丁程序,但是可以通過禁用自動更新和停止啟用腳本設置來緩解該問題。


原文鏈接:

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/


5、Apple發布更新,修復已被積極利用的3個0day


5.jpg


Apple修復了其iOS 14.2中的3個0day,這些漏洞已在野外被積極利用并影響了iPhone、iPad和iPod。此次修復的漏洞分別為遠程執行代碼(RCE)漏洞(CVE-2020-27930 ),FontParser庫處理惡意字體時由內存損壞問題導致;內核內存泄漏漏洞(CVE-2020-27950),該漏洞由內存初始化問題引起,允許惡意應用訪問內核內存;內核提權漏洞(CVE-2020-27932),由類型混淆導致,可被利用來使用內核權限執行任意代碼。


原文鏈接:

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇 下一篇