首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第22周

颁布功夫 2020-06-01

> 本周安全态势综述

2020年05月25日至05月31日共收录安全缝隙58个，值得关注的是TrendMicro InterScan Web Security Virtual Appliance LogSettingHandler号令注入缝隙; IBM Security Identity Governance and Intelligence未授权号令执行缝隙；Apple macOS Catalina FontParser代码执行缝隙；Inductive Automation Ignition反序列化代码执行缝隙；Ubiquiti Networks AirOS OS号令注入缝隙。

本周值得关注的网络安全事务是美国CISA、DOE和英国的NCSC结合颁布《ICS网络安全最佳实际》；黑客组织Maze攻击哥斯达黎加银行，窃取其信誉卡信息；泰国移动运营商AIS存在安全问题，泄露83亿条用户纪录；Android缝隙StrandHogg 2.0被披露，影响超过10亿台设备；Apple颁布安全更新，建复macOS和Safari中50多缝隙。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1.Trend Micro InterScan Web Security Virtual Appliance LogSettingHandler号令注入缝隙

Trend Micro InterScan Web Security Virtual Appliance LogSettingHandler类解析mount_device参数时存在输入验证缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意号令。

https://www.zerodayinitiative.com/advisories/ZDI-20-676/

2. IBM Security Identity Governance and Intelligence未授权号令执行缝隙

IBM Security Identity Governance and Intelligence存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可未授权执行号令。

https://www.ibm.com/blogs/psirt/security-bulletin-ibm-has-announced-a-release-for-ibm-security-identity-governance-and-intelligence-in-response-to-a-security-vulnerability-cve-2020-4231/

3. Apple macOS Catalina FontParser代码执行缝隙

Apple macOS Catalina FontParser存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的PDF文件要求，可越界写，以利用法式高低文执行肆意代码。

https://support.apple.com/zh-cn/HT211170

4. Inductive Automation Ignition反序列化代码执行缝隙

Inductive Automation Ignition存在反序列化缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，能够利用法式高低文执行肆意代码。

https://www.us-cert.gov/ics/advisories/icsa-20-147-01

5. Ubiquiti Networks AirOS OS号令注入缝隙

Ubiquiti Networks AirMax AirOS存在输入验证缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可注入肆意号令并执行。

https://community.ui.com/releases/Security-advisory-bulletin-011-011/d0d411a5-6dcb-4988-9709-d57f50957261

> 沉要安全事务综述

1、美国CISA、DOE和英国的NCSC结合颁布《ICS网络安全最佳实际》

GA黄金甲·(中国区)官方网站

原文链接：

https://www.us-cert.gov/ncas/current-activity/2020/05/22/cisa-doe-and-uks-ncsc-issue-guidance-protecting-industrial-control

2、黑客组织Maze攻击哥斯达黎加银行，窃取其信誉卡信息

GA黄金甲·(中国区)官方网站

原文链接：

https://www.bleepingcomputer.com/news/security/hackers-leak-credit-card-info-from-costa-ricas-state-bank/

3、泰国移动运营商AIS存在安全问题，泄露83亿条用户纪录

GA黄金甲·(中国区)官方网站

原文链接：

https://techcrunch.com/2020/05/24/thai-billions-internet-records-leak/

4、Android缝隙StrandHogg 2.0被披露，影响超过10亿台设备

GA黄金甲·(中国区)官方网站

原文链接：

https://www.bleepingcomputer.com/news/security/critical-android-bug-lets-malicious-apps-hide-in-plain-sight/

5、Apple颁布安全更新，建复macOS和Safari中50多缝隙

GA黄金甲·(中国区)官方网站

原文链接：

https://www.securityweek.com/apple-patches-over-40-vulnerabilities-macos-catalina

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第22周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线