首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第16周

颁布功夫 2020-04-20

> 本周安全态势综述

2020年04月13日至19日共收录安全缝隙72个，，，，，，，值得关注的是Google Chrome speech recognizer代码执行缝隙; VeeamOne Agent PerformHandshake代码执行缝隙；；；；；；；Apache Heron反序列化代码执行缝隙；；；；；；；Cisco UCS Director ApplianceStorageUtil unzip目录遍历代码执行缝隙；；；；；；；Triangle MicroWorks SCADA Data Gateway DNP3 GET_FILE_INFO栈溢露马脚。。。。。。

本周值得关注的网络安全事务是巴基斯坦1.15亿移动用户数据在暗网销售；；；；；；；丹麦水泵造作商DESMI遭网络攻击，，，，，，，系统仍未复原；；；；；；；Oracle颁布4月沉要补丁更新，，，，，，，建复397个缝隙；；；；；；；英特尔颁布4月安全更新，，，，，，，建复多款产品中的9个缝隙；；；；；；；EA Sports遭大规模DDoS攻击，，，，，，，全球服务中断。。。。。。

凭据以上综述，，，，，，，本周安全威胁为钟祝。。。。。

>沉要安全缝隙列表

1. Google Chrome speech recognizer代码执行缝隙

Google Chrome speech recognizer存在开释后使用缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的WEB要求，，，，，，，诱使用户解析，，，，，，，可使利用法式崩�；；；；；；；蛑葱兴烈獯搿！�。。。。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_15.html

2. Veeam One Agent PerformHandshake代码执行缝隙

Veeam One Agent PerformHandshake步骤存在反序列化缝隙，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，可使利用法式崩�；；；；；；；蛑葱兴烈獯搿！�。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-545/

3. Apache Heron反序列化代码执行缝隙

Apache Heron存在反序列化缝隙，，，，，，，允许通过验证的治理员用户利用缝隙提交特殊的要求，，，，，，，能够利用法式高低文执行肆意代码。。。。。。

https://lists.apache.org/thread.html/r16dd39f4180e4443ef4ca774a3a5a3d7ac69f91812c183ed2a99e959%40%3Cdev.heron.apache.org%3E

4. Cisco UCS Director ApplianceStorageUtil unzip目录遍历代码执行缝隙

Cisco UCS Director ApplianceStorageUtil unzip处置文件操作存在目录遍历缝隙，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，能够root账户高低文执行肆意代码。。。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-539/

5. Triangle MicroWorks SCADA Data Gateway DNP3 GET_FILE_INFO栈溢露马脚

Triangle MicroWorks SCADA Data Gateway处置DNP3 GET_FILE_INFO存在栈溢露马脚，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，可使利用法式崩�；；；；；；；蛑葱兴烈獯搿！�。。。。

https://www.zerodayinitiative.com/advisories/ZDI-20-547

> 沉要安全事务综述

1、巴基斯坦1.15亿移动用户数据在暗网销售