信息安全周报-2020年第43周

颁布功夫 2020-10-26

> 本周安全态势综述


2020年10月19日至10月25日共收录安全缝隙82个,,值得关注的是Adobe Illustrator内存粉碎CVE-2020-24412代码执行缝隙;;;Mozilla Firefox usersctp内存谬误引用代码执行缝隙;;;Oracle Solaris CVE-2020-14871未明远程代码执行缝隙;;;HPE Intelligent Management Center UrlAccessController验证绕过缝隙;;;VMware ESXi OpenSLP内存谬误引用代码执行缝隙。。。


本周值得关注的网络安全事务是Hiscox颁布2020年度Cyber Readiness分析汇报;;;Discord修复其桌面利用中可导致远程代码执行的缝隙;;;Google颁布Chrome安全更新,,修复已被利用的0day;;;Rapid7披露10个针对七款浏览器利用的地址栏糊弄缝隙;;;Sophos发现LockBit可使用自动攻击工具来鉴别可疑指标。。。


凭据以上综述,,本周安全威胁为中。。。


重要安全缝隙列表


1.Adobe Illustrator内存粉碎CVE-2020-24412代码执行缝隙


Adobe Illustrator存在内存粉碎缝隙,,允许远程攻击者能够利用缝隙提交特殊的文件要求,,诱使用户解析,,可使利用法式崩溃唬唬或能够利用法式高低文执行肆意代码。。。

https://helpx.adobe.com/security/products/illustrator/apsb20-53.html


2.Mozilla Firefox usersctp内存谬误引用代码执行缝隙


Mozilla Firefox usersctp库存在开释后使用缝隙,,允许远程攻击者利用缝隙提交特殊的WEB要求,,诱使用户解析,,可使利用法式崩溃唬唬或能够利用法式高低文执行肆意代码。。。

https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/


3.Oracle Solaris CVE-2020-14871未明远程代码执行缝隙


Oracle Solaris和谈处置存在未明安全缝隙,,允许远程攻击者利用缝隙提交特殊的要求,,能够系统高低文执行肆意代码。。。

https://www.oracle.com/security-alerts/cpuoct2020.html


4.HPE Intelligent Management Center UrlAccessController验证绕过缝隙


HPE Intelligent Management Center UrlAccessController存在验证绕过缝隙,,允许远程攻击者利用缝隙提交特殊的要求,,能够利用法式高低文执行肆意代码。。。

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us


5.VMware ESXi OpenSLP内存谬误引用代码执行缝隙


VMware ESXi OpenSLP服务存在开释后使用缝隙,,允许远程攻击者能够利用缝隙提交特殊的要求,,能够利用法式高低文执行肆意代码。。。

https://www.vmware.com/security/advisories/VMSA-2020-0023.html


> 重要安全事务综述


1、、Hiscox颁布2020年度Cyber Readiness分析汇报


1.jpg


Hiscox颁布2020年度Cyber Readiness分析汇报,,发现从前一年中全球网络损失增长了近六倍。。。该汇报显示,,受影响公司的总损失为18亿美元,,比去年的12亿美元增长了50%。。。汇报中有6%以上的受访者支付了赎金,,损失总计为3.81亿美元。。。据统计,,恶意软件、、勒索软件、、企业电子邮件泄露和散布式回绝服务(DDoS)依然是最常用的攻击媒介,,而DDoS攻击也成了勒索软件攻击的另一种大局。。。


原文链接:

https://www.hiscox.co.uk/sites/uk/files/documents/202006/Hiscox_Cyber_Readiness_Report_2020_UK.PDF


2、、Discord修复其桌面利用中可导致远程代码执行的缝隙


2.jpg


Discord已修复桌面版利用法式中的一个关键缝隙,,可导致远程代码执行(RCE)攻击。。。该缝隙存在于Discon桌面利用法式使用的软件框架Electron中,,其contextIsolation被设置为false,,这允许利用法式外部的JavaScript代码影响内部代码,,例如web页面外部的JavaScript代码使用node.js职能。。。该缝隙被追踪为CVE-2020-15174,,与其他两个缝隙结合利用可绕过导航限度并使用iframe XSS缝隙接见蕴含恶意代码的网页来执行RCE攻击。。。


原文链接:

https://www.zdnet.com/article/discord-desktop-app-vulnerable-to-remote-code-execution-bug/


3、、Google颁布Chrome安全更新,,修复已被利用的0day


3.jpg


Google颁布了Chrome版本86.0.4240.111的安全更新,,修复已被在野利用的0day。。。该缝隙被追踪为CVE-2020-15999,,是FreeType字体渲染库中的内存败坏缝隙。。。谷歌Project Zero的钻研人员发现了利用此FreeType缝隙进行的野外攻击,,但是有关该缝隙的利用活动的具体信息尚未公开。。。这是在从前一年来的第三个被在野利用的Chrome 0day,,前两个是CVE-2019-13720(2019年10月)和CVE-2020-6418(2020年2月)。。。


原文链接:

https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/


4、、Rapid7披露10个针对七款浏览器利用的地址栏糊弄缝隙


4.jpg


网络安全公司Rapid7披露了10个针对七款浏览器利用的地址栏糊弄缝隙。。。这次披露的缝隙别离为UC浏览器中的CVE-2020-7363和CVE-2020-7364、、Opera Mini和Opera Touch中的CVE TBD-Opera、、Yandex浏览器中的CVE-2020-7369、、Bolt浏览器中的CVE-2020-7370、、RITS浏览器中的CVE-2020-7371和Apple Safari中的CVE-2020-9987。。。该问题于今年岁首被发现,,并于8月汇报给制作商,,目前大型厂商立即进行了修复,,而小型厂商仍无人理睬。。。


原文链接:

https://www.zdnet.com/article/seven-mobile-browsers-vulnerable-to-address-bar-spoofing-attacks/


5、、Sophos发现LockBit可使用自动攻击工具来鉴别可疑指标


5.jpg


Sophos颁布汇报,,称LockBit可使用自动攻击工具来鉴别可疑指标。。。钻研人员通过度析一年前出现的样本,,发现LockBit已经迅速成熟,,并选取了一些新的步骤来绕过Windows用户帐户节制(UAC)来提升特权。。。此外,,LockBit可使用PowerShell和Windows的VBscript主机的重定名副本以及基于PowerShell渗入测试工具的剧本,,来搜索蕴含有价值数据的系统,,以攻击小型组织。。。


原文链接:

https://news.sophos.com/en-us/2020/10/21/lockbit-attackers-uses-automated-attack-tools-to-identify-tasty-targets/