东森平台

首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第45周

宣布时间 2020-11-09

> 本周宁静态势综述

2020年11月02日至11月08日共收录宁静漏洞61个，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出漏洞；Google Android高通关闭源组件远程代码执行漏洞；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行漏洞；SaltStack Salt API任意代码执行漏洞；Apache Shiro CVE-2020-17510授权绕过漏洞。

本周值得关注的网络宁静事件是HackerOne宣布第四届年度HACKER-POWERED宁静陈诉；Pulse Secure宣布企业推进零信任网络的分析陈诉；Google宣布宁静更新，修复Chrome中已被利用的0day；思科披露其AnyConnect客户端中0day，尚无相关补��；Apple宣布更新，修复已被积极利用的3个0day。

凭据以上综述，本周宁静威胁为中。

> 重要宁静漏洞列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出漏洞

Adobe Acrobat Reader处置PDF文件存在缓冲区溢出漏洞，允许远程攻击者利用漏洞提交特殊的文件请求，诱使用户解析，可使应用法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通关闭源组件远程代码执行漏洞

Google Android高通关闭源组件存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使应用法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行漏洞

Oracle WebLogic Server Oracle Fusion Middleware Console存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的HTTP请求，可使系统崩�；蛘咭杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API任意代码执行漏洞

SaltStack Salt API存在输入验证漏洞，允许远程攻击者利用漏洞提交特殊的请求，可未授权访问任意代码。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过漏洞

Apache Shiro存在授权绕过漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可未授权访问应用。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 重要宁静事件综述

1、HackerOne宣布第四届年度HACKER-POWERED宁静陈诉

HackerOne宣布第四届年度HACKER-POWERED宁静陈诉，称跨站点脚本（XSS）是最常见的漏洞类型，比2019年增加了134%。陈诉显示，XSS漏洞占了陈诉的所有漏洞的18%，总计获得了420万美元的奖金(比去年增加了26%)。此外，不妥访问控制漏洞所获得的奖金额度比去年同比增长134％，高到达400万美元，其次是信息披露漏洞，同比增长63％。这两种方式都市泄露潜在的敏感数据，例如个人身份信息。

原文链接：

hackerone.com/hacker-powered-security-report

2、Pulse Secure宣布企业推进零信任网络的分析陈诉

Pulse Secure宣布了有关企业推进零信任网络的分析陈诉。那些推动和规划零信任流程和技术实施偏向的组织，将走在数字转型曲线的前面。研究发现，零信任项目往往是跨学科的，汇集了宁静和网络团队。他们通常使用三种协作方式，分别是协调差异系统之间的访问宁静控制(48%)、评估访问宁静控制需求(41%)和凭据用户、角色、数据和应用法式界说访问需求(40%)。企业管理协会副总Shamus McGillicuddy体现，企业显然正在加快接纳零信任网络的法式。

原文链接：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、Google宣布宁静更新，修复Chrome中已被利用的0day

Google宣布宁静更新，修复Chrome中的10个漏洞，其中包罗一个在野外已被积极利用的0day。该0day被追踪为CVE-2020-16009，由Google的威胁分析小组（TAG）发现，但该小组并未果然关于该漏洞的详细信息以及利用，仅体现该漏洞位于处置JavaScript代码的Chrome组件V8中。不久后，Google又宣布了Android版Chrome中的0day的补丁法式，该漏洞被追踪为CVE-2020-16010，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢出漏洞。

原文链接：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、思科披露其AnyConnect客户端中0day，尚无相关补丁

思科披露其AnyConnect客户端软件的0day，目前已有果然可用的看法验证利用代码，但尚无针对这个任意代码执行漏洞的宁静更新。该漏洞被追踪为CVE-2020-3556，存在于Cisco AnyConnect Client的进程间通信（IPC）通道中，经过身份验证的攻击者和当地攻击者可利用该漏洞执行恶意脚本。该漏洞影响了Windows、Linux和macOS版本的AnyConnect客户端，尽管没有补丁法式，但是可以通过禁用自动更新和停止启用脚本设置来缓解该问题。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、Apple宣布更新，修复已被积极利用的3个0day

Apple修复了其iOS 14.2中的3个0day，这些漏洞已在野外被积极利用并影响了iPhone、iPad和iPod。此次修复的漏洞分别为远程执行代码（RCE）漏洞（CVE-2020-27930 ），FontParser库处置恶意字体时由内存损坏问题导致；内核内存泄漏漏洞（CVE-2020-27950），该漏洞由内存初始化问题引起，允许恶意应用访问内核内存；内核提权漏洞(CVE-2020-27932)，由类型混淆导致，可被利用来使用内核权限执行任意代码。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号