OG东方厅

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第45周

颁布功夫 2020-11-09

> 本周安全态势综述

2020年11月02日至11月08日共收录安全缝隙61个，，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出缝隙；；；Google Android高通关闭源组件远程代码执行缝隙；；；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行缝隙；；；SaltStack Salt API肆意代码执行缝隙；；；Apache Shiro CVE-2020-17510授权绕过缝隙。。。

本周值得关注的网络安全事务是HackerOne颁布第四届年度HACKER-POWERED安全汇报；；；Pulse Secure颁布企业推动零信赖网络的分析汇报；；；Google颁布安全更新，，修复Chrome中已被利用的0day；；；思科披露其AnyConnect客户端中0day，，尚无有关补�。。�；；；Apple颁布更新，，修复已被积极利用的3个0day。。。

凭据以上综述，，本周安全威胁为中。。。

> 重要安全缝隙列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出缝隙

Adobe Acrobat Reader处置PDF文件存在缓冲区溢出缝隙，，允许远程攻击者利用缝隙提交特殊的文件要求，，诱使用户解析，，可使利用法式崩�；；；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。。。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通关闭源组件远程代码执行缝隙

Google Android高通关闭源组件存在安全缝隙，，允许远程攻击者利用缝隙提交特殊的要求，，可使利用法式崩�；；；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。。。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行缝隙

Oracle WebLogic Server Oracle Fusion Middleware Console存在安全缝隙，，允许远程攻击者利用缝隙提交特殊的HTTP要求，，可使系统崩�；；；蛘咭岳梅ㄊ礁叩臀闹葱兴烈獯�。。。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API肆意代码执行缝隙

SaltStack Salt API存在输入验证缝隙，，允许远程攻击者利用缝隙提交特殊的要求，，可未授权接见肆意代码。。。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过缝隙

Apache Shiro存在授权绕过缝隙，，允许远程攻击者能够利用缝隙提交特殊的要求，，可未授权接见利用。。。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 重要安全事务综述

1、、HackerOne颁布第四届年度HACKER-POWERED安全汇报

HackerOne颁布第四届年度HACKER-POWERED安全汇报，，称跨站点剧本（XSS）是最常见的缝隙类型，，比2019年增长了134%。。。汇报显示，，XSS缝隙占了汇报的所有缝隙的18%，，总计获得了420万美元的奖金(比去年增长了26%)。。。此外，，不当接见节制缝隙所获得的奖金额度比去年同比增长134％，，高达到400万美元，，其次是信息披露缝隙，，同比增长63％。。。这两种方式城市泄露潜在的敏感数据，，例如小我身份信息。。。

原文链接：：：

hackerone.com/hacker-powered-security-report

2、、Pulse Secure颁布企业推动零信赖网络的分析汇报

Pulse Secure颁布了有关企业推动零信赖网络的分析汇报。。。那些推动和规划零信赖流程和技术执行方向的组织，，将走在数字转型曲线的前面。。。钻研发现，，零信赖项目往往是跨学科的，，汇集了安全和网络团队。。。他们通常使用三种合作方式，，别离是协调分歧系统之间的接见安全节制(48%)、、评估接见安全节制需要(41%)和凭据用户、、角色、、数据和利用法式界说接见需要(40%)。。。企业治理协会副总Shamus McGillicuddy暗示，，企业显然正在加快采取零信赖网络的措施。。。

原文链接：：：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、、Google颁布安全更新，，修复Chrome中已被利用的0day

Google颁布安全更新，，修复Chrome中的10个缝隙，，其中蕴含一个在野外已被积极利用的0day。。。该0day被追踪为CVE-2020-16009，，由Google的威胁分析小组（TAG）发现，，但该小组并未公开关于该缝隙的具体信息以及利用，，仅暗示该缝隙位于处置JavaScript代码的Chrome组件V8中。。。不久后，，Google又颁布了Android版Chrome中的0day的补丁法式，，该缝隙被追踪为CVE-2020-16010，，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢出缝隙。。。

原文链接：：：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、、思科披露其AnyConnect客户端中0day，，尚无有关补丁

思科披露其AnyConnect客户端软件的0day，，目前已有公开可用的概念验证利用代码，，但尚无针对这个肆意代码执行缝隙的安全更新。。。该缝隙被追踪为CVE-2020-3556，，存在于Cisco AnyConnect Client的过程间通讯（IPC）通道中，，经过身份验证的攻击者和本地攻击者可利用该缝隙执行恶意剧本。。。该缝隙影响了Windows、、Linux和macOS版本的AnyConnect客户端，，只管没有补丁法式，，但是能够通过禁用自动更新和终场启用剧本设置来缓解该问题。。。

原文链接：：：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、、Apple颁布更新，，修复已被积极利用的3个0day

Apple修复了其iOS 14.2中的3个0day，，这些缝隙已在野外被积极利用并影响了iPhone、、iPad和iPod。。。这次修复的缝隙别离为远程执行代码（RCE）缝隙（CVE-2020-27930 ），，FontParser库处置恶意字体时由内存败坏问题导致；；；内核内存泄漏缝隙（CVE-2020-27950），，该缝隙由内存初始化问题引起，，允许恶意利用接见内核内存；；；内核提权缝隙(CVE-2020-27932)，，由类型混合导致，，可被利用来使用内核权限执行肆意代码。。。

原文链接：：：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

7*24小时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】