首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第38周

颁布功夫 2019-09-30

本周安全态势综述

2019年9月23日至29日共收录安全缝隙43个，值得关注的是RIOT MQTT-SN CVE-2019-16754空指针间接引用缝隙; vBulletin widgetConfig[code]远程代码执行缝隙；Adobe ColdFusion肆意代码执行缝隙；Microsoft Internet Explorer内存对象处置远程代码执行缝隙；phpstudy后门植入缝隙。

本周值得关注的网络安全事务是Tesco停车利用存在缝隙导致数千万车牌图像泄露；微软垂危建复IE中的RCE 0day及Defender中的DoS缝隙；据统计2019年美国已有多达500所学堂遭勒索软件攻击；iOS 13和iPadOS缝隙可导致第三方键盘获取齐全接见权限；iOS缝隙Checkm8可导致iPhone4到X永远越狱。

凭据以上综述，本周安全威胁为中。

沉要安全缝隙列表

1. RIOT MQTT-SN CVE-2019-16754空指针间接引用缝隙
RIOT MQTT-SN实现存在空指针引用缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可使系统崩溃。
https://github.com/RIOT-OS/RIOT/pull/12293

2. vBulletin widgetConfig[code]远程代码执行缝隙
vBulletin ajax/render/widget_php routestring处置widgetConfig[code]存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意号令。
https://seclists.org/fulldisclosure/2019/Sep/31

3. Adobe ColdFusion肆意代码执行缝隙
Adobe ColdFusion某组件存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可注入肆意号令并执行。
https://helpx.adobe.com/security/products/coldfusion/apsb19-47.html

4. Microsoft Internet Explorer内存对象处置远程代码执行缝隙
Microsoft Internet Explorer处置内存对象存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的WEB要求，诱使用户解析，可使利用法式崩�；蛑葱兴烈獯�。
https://support.microsoft.com/zh-cn/help/4522007/cumulative-security-update-for-internet-explorer

5. phpstudy后门植入缝隙
phpstudy被注入后门，允许远程攻击者能够利用缝隙提交特殊的要求，节造指标利用系统。
https://www.xp.cn/

沉要安全事务综述

1、Tesco停车利用存在缝隙导致数千万车牌图像泄露

GA黄金甲·(中国区)官方网站

在表媒The Register报路数千万张ANPR（车牌自动鉴别）图像在Microsoft Azure中露出之后，Tesco已关关其停车验证Web利用。这些图像由英国各地的19个Tesco停车场所拍摄的进入和脱离的汽车照片组成，照片中凸起显示了汽车的车牌，固然由于分辨率较低而看不到驾驶员。ANPR图像以带有功夫戳的jpeg体式保留在Azure blob中，并且图像文件名也蕴含功夫信息，从而使得任何正确揣度出所需HTTP POST要求体式的人能够批量获取这些图像以供犯法使用。

原文链接：
https://www.theregister.co.uk/2019/09/20/tesco_parking_app_10s_millions_anpr_photos_exposed/

2、微软垂危建复IE中的RCE 0day及Defender中的DoS缝隙

GA黄金甲·(中国区)官方网站

微软颁布垂危安全更新，建复IE中的RCE 0day及Windows Defender中的DoS缝隙。其中IE 0day为谷歌钻研人员ClémentLecigne发现的剧本引擎内存败坏缝隙（CVE-2019-1367），攻击者可利用该缝隙在当前用户的高低文中执行肆意代码。该缝隙能够通过将指标用户沉定向至恶意网站来利用，受影响的版本蕴含IE9、10和11。另一个缝隙是Windows Defender中的回绝服务缝隙（CVE-2019-1255），该缝隙与Defender处置文件的方式有关，攻击者可利用该缝隙阻止合法账户执行合法的系统文件。受影响的Defender版本为1.1.16300.1，并已在1.1.16400.2中建复。

原文链接：
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

3、据统计2019年美国已有多达500所学堂遭勒索软件攻击

GA黄金甲·(中国区)官方网站

凭据云安全公司Armor的调研，美国已有49个学区的教育机构遭到勒索软件攻击，使得教育行业成为仅次于处所当局的第二大易受攻击指标。该公司分析了自2019年1月以来公开报路的攻击，发此刻2019年前9个月已有多达500所K-12学堂遭到攻击，而去年只有11所学堂。仅在9月中旬的一周多功夫里就有9个新学区和1所大学受到攻击，波及约100所K-12学堂�？的腋裰莸难艿降耐沧钗铣�，该州共遭逢了7次攻击，涵盖104所学堂。

原文链接：

https://www.infosecurity-magazine.com/news/hundreds-of-us-schools-hit-by/

4、iOS 13和iPadOS缝隙可导致第三方键盘获取齐全接见权限

GA黄金甲·(中国区)官方网站

苹果官方颁布了一份新的支持文档，忠告用户有关iOS 13和iPadOS第三方键盘存在的安全缝隙。该公司暗示，一些第三方键盘软件即便未被核准齐全接见权限也可能会由于iOS 13和iPadOS中的缝隙而被授予齐全接见权限。这一问题影响了iPhone、iPad或iPod touch装置的键盘，但不影响苹果的内置键盘，也不会影响未利用齐全接见权限的第三方键盘，苹果将在即将到来的软件更新中建复此缝隙。

原文链接：

https://threatpost.com/bug-granting-full-access-keyboards/148638/

5、iOS缝隙Checkm8可导致iPhone4到X永远越狱

GA黄金甲·(中国区)官方网站

安全钻研员axi0mX披露iOS中的安全缝隙checkm8，该缝隙能够使iPhone4S（A5芯片）到iPhone8、iPhoneX（A11芯片）的所有苹果手机及同款A系列处置器的iPad、iPod touch等iOS设备永远越狱。没有提到最新的A12和A13是否受到影响。该攻击利用了bootrom缝隙，即存储了iPhone启动指令的只读存储器（ROM）缝隙，由于该部门内存是只读的，因而无法通过安全更新来建复缝隙。钻研人员在Github上颁布了有关缝隙利用，但尚无公开可用的越狱法式。

原文链接：
https://threatpost.com/ios-exploit-checkm8-could-allow-permanent-iphone-jailbreaks/148762/

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第38周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线