首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第17周

颁布功夫 2020-04-28

> 本周安全态势综述

2020年04月20日至26日共收录安全缝隙54个，，，，，，，，值得关注的是Apple macOS Mail Javascript代码执行缝隙; Google Chrome payments内存谬误引用代码执行缝隙；；；；；；Sonatype Nexus Repository Manager权限提升缝隙；；；；；；灵通OA肆意用户登录缝隙；；；；；；Contiki-NG越界写代码执行缝隙。。。。。

本周值得关注的网络安全事务是加拿大儿童游戏网站Webkinz近2300万用户数据泄露；；；；；；FPGA芯片Starbleed缝隙，，，，，，，，影响赛灵思多个产品；；；；；；CNCERT颁布《2019年我国互联网网络安全态势综述》汇报；；；；；；钻研人员披露IBM企业安全软件中的4个0day；；；；；；微软颁布垂危更新，，，，，，，，建复Office和Paint 3D中多个缝隙。。。。。

凭据以上综述，，，，，，，，本周安全威胁为中。。。。。

>沉要安全缝隙列表

1. Apple macOS Mail Javascript代码执行缝隙

Apple macOS Mail存在代码注入缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，，能够利用法式高低文执行肆意JavaScript代码。。。。。。。。。。

https://support.apple.com/en-us/HT211100

2. Google Chrome payments内存谬误引用代码执行缝隙

Google Chrome payments存在开释后使用缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的WEB要求，，，，，，，，诱使用户解析，，，，，，，，可进行回绝服务攻击或以利用法式高低文执行肆意码。。。。。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html

3. Sonatype Nexus Repository Manager权限提升缝隙

Sonatype Nexus Repository Manager实现存在安全缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，，可提升特权，，，，，，，，进行创建，，，，，，，，批改，，，，，，，，执行工作。。。。。

https://support.sonatype.com/hc/en-us/articles/360046233714

4. 灵通OA肆意用户登录缝隙

灵通OA登录实现存在安全缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，，能够肆意用户高低文登录。。。。。

https://cert.360.cn/warning/detail?id=d2689a877c01a9712d148317c2da21a2

5. Contiki-NG越界写代码执行缝隙

Contiki-NG os/net/ipv6/sicslowpan.c在处置6LoWPAN吩飕沉组存在越界写缝隙，，，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，，，可使利用法式崩�；；；；；；蛑葱兴烈獯�。。。。。

https://github.com/contiki-ng/contiki-ng/pull/972

> 沉要安全事务综述

1、加拿大儿童游戏网站Webkinz近2300万用户数据泄露