8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第45周

颁布功夫 2020-11-09

> 本周安全态势综述

2020年11月02日至11月08日共收录安全缝隙61个，，，，，，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢露马脚；；；；；；；；Google Android高通封关源组件远程代码执行缝隙；；；；；；；；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行缝隙；；；；；；；；SaltStack Salt API肆意代码执行缝隙；；；；；；；；Apache Shiro CVE-2020-17510授权绕过缝隙。。。。。。。

本周值得关注的网络安全事务是HackerOne颁布第四届年度HACKER-POWERED安全汇报；；；；；；；；Pulse Secure颁布企业推动零信赖网络的分析汇报；；；；；；；；Google颁布安全更新，，，，，，建复Chrome中已被利用的0day；；；；；；；；思科披露其AnyConnect客户端中0day，，，，，，尚无有关补�。。。。。。�；；；；；；；；Apple颁布更新，，，，，，建复已被积极利用的3个0day。。。。。。。

凭据以上综述，，，，，，本周安全威胁为中。。。。。。。

> 沉要安全缝隙列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢露马脚

Adobe Acrobat Reader处置PDF文件存在缓冲区溢露马脚，，，，，，允许远程攻击者利用缝隙提交特殊的文件要求，，，，，，诱使用户解析，，，，，，可使利用法式崩�；；；；；；；；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。。。。。。。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通封关源组件远程代码执行缝隙

Google Android高通封关源组件存在安全缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可使利用法式崩�；；；；；；；；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。。。。。。。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行缝隙

Oracle WebLogic Server Oracle Fusion Middleware Console存在安全缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的HTTP要求，，，，，，可使系统崩�；；；；；；；；蛘咭岳梅ㄊ礁叩臀闹葱兴烈獯�。。。。。。。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API肆意代码执行缝隙

SaltStack Salt API存在输入验证缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可未授权接见肆意代码。。。。。。。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过缝隙

Apache Shiro存在授权绕过缝隙，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可未授权接见利用。。。。。。。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 沉要安全事务综述

1、HackerOne颁布第四届年度HACKER-POWERED安全汇报

HackerOne颁布第四届年度HACKER-POWERED安全汇报，，，，，，称跨站点剧本（XSS）是最常见的缝隙类型，，，，，，比2019年增长了134%。。。。。。。汇报显示，，，，，，XSS缝隙占了汇报的所有缝隙的18%，，，，，，总计获得了420万美元的奖金(比去年增长了26%)。。。。。。。此表，，，，，，不当接见节造缝隙所获得的奖金额度比去年同比增长134％，，，，，，高达到400万美元，，，，，，其次是信息披露缝隙，，，，，，同比增长63％。。。。。。。这两种方式城市泄露潜在的敏感数据，，，，，，例如幼我身份信息。。。。。。。

原文链接：

hackerone.com/hacker-powered-security-report

2、Pulse Secure颁布企业推动零信赖网络的分析汇报

Pulse Secure颁布了有关企业推动零信赖网络的分析汇报。。。。。。。那些推动和规划零信赖流程和技术执行方向的组织，，，，，，将走在数字转型曲线的前面。。。。。。。钻研发现，，，，，，零信赖项目往往是跨学科的，，，，，，汇集了安全和网络团队。。。。。。。他们通常使用三种合作方式，，，，，，别离是协调分歧系统之间的接见安全节造(48%)、评估接见安全节造需要(41%)和凭据用户、角色、数据和利用法式界说接见需要(40%)。。。。。。。企业治理协会副总Shamus McGillicuddy暗示，，，，，，企业显然在加快采取零信赖网络的措施。。。。。。。

原文链接：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、Google颁布安全更新，，，，，，建复Chrome中已被利用的0day

Google颁布安全更新，，，，，，建复Chrome中的10个缝隙，，，，，，其中蕴含一个在野表已被积极利用的0day。。。。。。。该0day被追踪为CVE-2020-16009，，，，，，由Google的威胁分析幼组（TAG）发现，，，，，，但该幼组并未公开关于该缝隙的具体信息以及利用，，，，，，仅暗示该缝隙位于处置JavaScript代码的Chrome组件V8中。。。。。。。不久后，，，，，，Google又颁布了Android版Chrome中的0day的补丁法式，，，，，，该缝隙被追踪为CVE-2020-16010，，，，，，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢露马脚。。。。。。。

原文链接：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、思科披露其AnyConnect客户端中0day，，，，，，尚无有关补丁

思科披露其AnyConnect客户端软件的0day，，，，，，目前已有公开可用的概想验证利用代码，，，，，，但尚无针对这个肆意代码执行缝隙的安全更新。。。。。。。该缝隙被追踪为CVE-2020-3556，，，，，，存在于Cisco AnyConnect Client的过程间通讯（IPC）通路中，，，，，，经过身份验证的攻击者和本地攻击者可利用该缝隙执行恶意剧本。。。。。。。该缝隙影响了Windows、Linux和macOS版本的AnyConnect客户端，，，，，，只管没有补丁法式，，，，，，但是能够通过禁用自动更新和终场启用剧本设置来缓解该问题。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、Apple颁布更新，，，，，，建复已被积极利用的3个0day

Apple建复了其iOS 14.2中的3个0day，，，，，，这些缝隙已在野表被积极利用并影响了iPhone、iPad和iPod。。。。。。。这次建复的缝隙别离为远程执行代码（RCE）缝隙（CVE-2020-27930 ），，，，，，FontParser库处置恶意字体时由内存败坏问题导致；；；；；；；；内核内存泄漏缝隙（CVE-2020-27950），，，，，，该缝隙由内存初始化问题引起，，，，，，允许恶意利用接见内核内存；；；；；；；；内核提权缝隙(CVE-2020-27932)，，，，，，由类型混合导致，，，，，，可被利用来使用内核权限执行肆意代码。。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】