网络信息安全周报-2020年第 45 周

king2020-11-09 16:03:00

> 本周安全态势综述

2020年11月02日至11月08日共收录安全漏洞61个,值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出漏洞;Google Android高通封闭源组件远程代码执行漏洞;Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行漏洞;SaltStack Salt API任意代码执行漏洞;Apache Shiro CVE-2020-17510授权绕过漏洞。

本周值得关注的网络安全事件是HackerOne发布第四届年度HACKER-POWERED安全报告;Pulse Secure发布企业推进零信任网络的分析报告;Google发布安全更新,修复Chrome中已被利用的0day;思科披露其AnyConnect客户端中0day,尚无相关补丁;Apple发布更新,修复已被积极利用的3个0day。

根据以上综述,本周安全威胁为中。

> 本周安全态势综述

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出漏洞

Adobe Acrobat Reader处理PDF文件存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文执行任意代码。

https://helpx.adobe.com/security/products/...

2.Google Android高通封闭源组件远程代码执行漏洞

Google Android高通封闭源组件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文执行任意代码。

https://source.android.com/security/bullet...

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行漏洞

Oracle WebLogic Server Oracle Fusion Middleware Console存在安全漏洞,允许远程攻击者利用漏洞提交特殊的HTTP请求,可使系统崩溃或者以应用程序上下文执行任意代码。

https://www.oracle.com/security-alerts/ale...

4.SaltStack Salt API任意代码执行漏洞

SaltStack Salt API存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问任意代码。

https://www.auscert.org.au/bulletins/ESB-2...

5.Apache Shiro CVE-2020-17510授权绕过漏洞

Apache Shiro存在授权绕过漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问应用。

https://lists.apache.org/thread.html/rc2cf...

> 重要安全事件综述

1、HackerOne发布第四届年度HACKER-POWERED安全报告

1.jpg

HackerOne发布第四届年度HACKER-POWERED安全报告,称跨站点脚本(XSS)是最常见的漏洞类型,比2019年增加了134%。报告显示,XSS漏洞占了报告的所有漏洞的18%,总计获得了420万美元的奖金(比去年增加了26%)。此外,不当访问控制漏洞所获得的奖金额度比去年同比增长134%,高达到400万美元,其次是信息披露漏洞,同比增长63%。这两种方式都会泄露潜在的敏感数据,例如个人身份信息。

原文链接:

hackerone.com/hacker-powered-security-report

2、Pulse Secure发布企业推进零信任网络的分析报告

2.jpg

Pulse Secure发布了有关企业推进零信任网络的分析报告。那些推动和规划零信任流程和技术实施方向的组织,将走在数字转型曲线的前面。研究发现,零信任项目往往是跨学科的,汇集了安全和网络团队。他们通常使用三种协作方式,分别是协调不同系统之间的访问安全控制(48%)、评估访问安全控制需求(41%)和根据用户、角色、数据和应用程序定义访问需求(40%)。企业管理协会副总Shamus McGillicuddy表示,企业显然正在加快采取零信任网络的步伐。

原文链接:

https://www.pulsesecure.net/resource/pulse...

3、Google发布安全更新,修复Chrome中已被利用的0day

3.jpg

Google发布安全更新,修复Chrome中的10个漏洞,其中包括一个在野外已被积极利用的0day。该0day被追踪为CVE-2020-16009,由Google的威胁分析小组(TAG)发现,但该小组并未公开关于该漏洞的详细信息以及利用,仅表示该漏洞位于处理JavaScript代码的Chrome组件V8中。不久后,Google又发布了Android版Chrome中的0day的补丁程序,该漏洞被追踪为CVE-2020-16010,为Chrome for Android用户界面(UI)组件中的堆缓冲区溢出漏洞。

原文链接:

https://www.zdnet.com/article/google-patch...

4、思科披露其AnyConnect客户端中0day,尚无相关补丁

4.jpg

思科披露其AnyConnect客户端软件的0day,目前已有公开可用的概念验证利用代码,但尚无针对这个任意代码执行漏洞的安全更新。该漏洞被追踪为CVE-2020-3556,存在于Cisco AnyConnect Client的进程间通信(IPC)通道中,经过身份验证的攻击者和本地攻击者可利用该漏洞执行恶意脚本。该漏洞影响了Windows、Linux和macOS版本的AnyConnect客户端,尽管没有补丁程序,但是可以通过禁用自动更新和停止启用脚本设置来缓解该问题。

原文链接:

https://www.bleepingcomputer.com/news/secu...

5、Apple发布更新,修复已被积极利用的3个0day

5.jpg

Apple修复了其iOS 14.2中的3个0day,这些漏洞已在野外被积极利用并影响了iPhone、iPad和iPod。此次修复的漏洞分别为远程执行代码(RCE)漏洞(CVE-2020-27930 ),FontParser库处理恶意字体时由内存损坏问题导致;内核内存泄漏漏洞(CVE-2020-27950),该漏洞由内存初始化问题引起,允许恶意应用访问内核内存;内核提权漏洞(CVE-2020-27932),由类型混淆导致,可被利用来使用内核权限执行任意代码。

原文链接:

https://www.bleepingcomputer.com/news/secu...

信息安全0day
本作品采用《CC 协议》,转载必须注明作者和本文链接
什么是漏洞利用平面?他们的关系是什么?一样,另外,我们收到的反馈中,不乏有对于极端威胁模型的困惑,大部分人基于各种动机和原因认为面对 The Desert of the Real 是没有意义的或者压根认为真实的荒漠不存在,这正是当我们看到 Maor 的文章后非常兴奋的原因,毕竟再遇到有人问相同的问题直接让他们去读 Maor 的那两篇文章即可,这个策略一定会奏效于那些坚持探索真相的人,不论他们是否从事信息安全工作。
经常有同学问关于安全如何学习的问题,还有就是学习方向的选择问题,学哪个不学哪个等等,由于存在以下三个问题,所以经常会感到迷茫,想学习无从下手,信安之路的成长平台专治迷茫,当你在迷茫之时,前往平台选一个任务进行学习就好,管他有没有用,先学起来再说。那么你是否存在以下的问题呢?
根据以上综述,本周安全威胁为中。报告显示,XSS漏洞占了报告的所有漏洞的18%,总计获得了420万美元的奖金。此外,不当访问控制漏洞所获得的奖金额度比去年同比增长134%,高达到400万美元,其次是信息披露漏洞,同比增长63%。原文链接: 2、Pulse Secure发布企业推进零信任网络的分析报告 Pulse Secure发布了有关企业推进零信任网络的分析报告。企业管理协会副总Shamus McGillicuddy表示,企业显然正在加快采取零信任网络的步伐。
2023年07月03日-2023年07月09日本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞548个,其中高危漏洞158个、中危漏洞300个、低危漏洞90个。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数5952个,与上周环比减少12%。本周,CNVD发布了《Microsoft发布2022年8月安全更新》。详情参见CNVD网站公告内容。
8月12日,安恒信息的研究成果《Windows本地提权在野0day狩猎之旅》在BlackHat USA 2022大会上发布。三度登上BlackHat事实上,此次已是安恒信息第三次登上BlackHat国际舞台。自此,范渊成为第一个登上美国BlackHat大会发表演讲的中国网络安全专家。此后,安恒信息又分别于2020年和2022年入选BlackHat USA议题。
2021年11月29日-2021年12月05日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
2021年9月13日-2021年9月19日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
2021年8月2日-2021年8月8日本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
本周漏洞态势研判情况 本周信息安全漏洞威胁整体评价级别 为中。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数7660个,与上周环比减少30%。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。工控系统行业漏洞统计本周重要漏洞安全告警 本周,CNVD整理和发布以下重要安全漏洞信息。
king
暂无描述