首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2021年第16周

發布時間 2021-04-19

> 本周安全態勢綜述


2021年04月12日至04月18日共收錄安全漏洞56個,值得關注的是Adobe Photoshop CVE-2021-28549緩沖區溢出代碼執行漏洞;Google Chrome Blink內存錯誤引用代碼執行漏洞;Apache Tapestry遠程代碼執行漏洞;Microsoft Exchange Server CVE-2021-28483遠程代碼執行漏洞;SolarWinds Orion Platform特權提升漏洞。


本周值得關注的網絡安全事件是巴西金融公司Iugu數據庫配置錯誤泄露1.7 TB數據;研究人員稱超過53萬個華為手機感染Joker惡意軟件;Bitdefender發布2020年威脅態勢和犯罪趨勢的回顧報告;Forescout披露影響上億臺設備的DNS漏洞NAME:WRECK;Microsoft發布4月補丁,修復5個0day在內的108個漏洞。


根據以上綜述,本周安全威脅為中。


> 重要安全漏洞列表


1.Adobe Photoshop CVE-2021-28549緩沖區溢出代碼執行漏洞


Adobe Photoshop處理文件存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。

https://helpx.adobe.com/security/products/photoshop/apsb21-28.html


2.Google Chrome Blink內存錯誤引用代碼執行漏洞


Google Chrome Blink存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB頁請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://www.zerodayinitiative.com/advisories/ZDI-21-411/


3.Apache Tapestry遠程代碼執行漏洞


Apache Tapestry存在安全繞過漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

http://www.openwall.com/lists/oss-security/2021/04/15/1


4.Microsoft Exchange Server CVE-2021-28483遠程代碼執行漏洞


Microsoft Exchange Server存在未明安全漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28483


5.SolarWinds Orion Platform特權提升漏洞


SolarWinds Orion Platform SaveUserSetting存在缺陷漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可把guest用戶提升為管理員。

https://www.zerodayinitiative.com/advisories/ZDI-21-192/


> 重要安全事件綜述


1、巴西金融公司Iugu數據庫配置錯誤泄露1.7 TB數據


1.jpg


研究人員Bob Diachenko于上周三發現,巴西金融科技Iugu因數據庫服務器配置錯誤泄露1.7 TB數據。此次事件泄露了從2013年到2021年的敏感數據,包括客戶電子郵件、用戶名、電話號碼和地址、交易記錄、文檔和其他財務詳細信息等。Iugu確認該數據庫暴露了大約兩個小時,僅泄露了備份數據中大約1%的可用信息,目前泄露的數據已被保護起來。


原文鏈接:

https://canaltech.com.br/seguranca/vazamento-expoe-17-tb-de-dados-dos-clientes-da-fintech-brasileira-iugu-na-web-182312/


2、研究人員稱超過53萬個華為手機感染Joker惡意軟件


2.jpg


安全公司Doctor Web稱超過53萬個華為手機在其官方商店AppGallery下載了受Joker(又名Bread)惡意軟件感染的應用。Joker可被用來執行廣泛的惡意操作,包括禁用Google Play保護服務、安裝惡意應用程序、生成虛假評論和顯示廣告等。涉及的應用包括包括虛擬鍵盤、相機、啟動器、在線Messenger、貼紙收集、著色程序和游戲等,其中大多數應用來自于同一位開發人員(山西快來拍網絡技術有限公司)。


原文鏈接:

https://securityaffairs.co/wordpress/116643/malware/huawei-store-joker-malware.html


3、Bitdefender發布2020年威脅態勢和犯罪趨勢的回顧報告


3.jpg


Bitdefender發布了2020年網絡威脅態勢和犯罪趨勢的回顧報告。報告指出,勒索軟件攻擊在全球范圍內激增485%,在2020年Q1和Q2占所有攻擊的64%;智能電視的漏洞數量增加了338%;NAS設備中的漏洞數量同比增長198%。此外,在檢測到的所有Android惡意軟件中,有35%來自Android.Trojan.Agent系列,其次是Android.Trojan.Downloader(占10%)和Android.Trojan.Banker(占7%)。


原文鏈接:

https://www.bitdefender.com/files/News/CaseStudies/study/395/Bitdefender-2020-Consumer-Threat-Landscape-Report.pdf


4、Forescout披露影響上億臺設備的DNS漏洞NAME:WRECK


4.jpg


安全公司Forescout和以色列安全團隊JSOF聯合披露了TCP/IP堆棧中DNS協議中的9個安全漏洞,統稱為NAME:WRECK,影響了1億個在Internet上運行的設備。攻擊者可以利用這些漏洞使設備脫機或者完全控制設備。這些漏洞中最嚴重的為IPnet中的RCE漏洞(CVE-2016-20009),嚴重性得分為9.8。其次為RCE(CVE-2020-7461、CVE-2020-15795和CVE-2020-27009)和DoS(CVE-2020-27736和CVE-2020-27737)等漏洞。    


原文鏈接:

https://www.bleepingcomputer.com/news/security/name-wreck-dns-vulnerabilities-affect-over-100-million-devices/


5、Microsoft發布4月補丁,修復5個0day在內的108個漏洞


5.jpg


Microsoft發布了4月份的周二補丁,總計修復了包含5個0day在內的108個漏洞。此次修復的0day包括RPC端點映射器的提權漏洞(CVE-2021-27091)、NTFS拒絕服務漏洞(CVE-2021-28312)、Windows安裝程序中的信息泄露漏洞(CVE-2021-28437)、Azure ms-rest-nodeauth庫的提權漏洞(CVE-2021-28458)以及Win32k中的提權漏洞(CVE-2021-28310)。其中,CVE-2021-28310漏洞是Kaspersky在野發現的,已被APT組織BITTER利用。


原文鏈接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2021-patch-tuesday-fixes-108-flaws-5-zero-days/

上一篇 下一篇