GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第45周

颁布功夫 2020-11-09

> 本周安全态势综述

2020年11月02日至11月08日共收录安全缝隙61个，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢露马脚；Google Android高通封关源组件远程代码执行缝隙；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行缝隙；SaltStack Salt API肆意代码执行缝隙；Apache Shiro CVE-2020-17510授权绕过缝隙。

本周值得关注的网络安全事务是HackerOne颁布第四届年度HACKER-POWERED安全汇报；Pulse Secure颁布企业推动零信赖网络的分析汇报；Google颁布安全更新，建复Chrome中已被利用的0day；思科披露其AnyConnect客户端中0day，尚无有关补��；Apple颁布更新，建复已被积极利用的3个0day。

凭据以上综述，本周安全威胁为中。

> 沉要安全缝隙列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢露马脚

Adobe Acrobat Reader处置PDF文件存在缓冲区溢露马脚，允许远程攻击者利用缝隙提交特殊的文件要求，诱使用户解析，可使利用法式崩�；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通封关源组件远程代码执行缝隙

Google Android高通封关源组件存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可使利用法式崩�；蛞岳梅ㄊ礁叩臀闹葱兴烈獯�。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行缝隙

Oracle WebLogic Server Oracle Fusion Middleware Console存在安全缝隙，允许远程攻击者利用缝隙提交特殊的HTTP要求，可使系统崩�；蛘咭岳梅ㄊ礁叩臀闹葱兴烈獯�。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API肆意代码执行缝隙

SaltStack Salt API存在输入验证缝隙，允许远程攻击者利用缝隙提交特殊的要求，可未授权接见肆意代码。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过缝隙

Apache Shiro存在授权绕过缝隙，允许远程攻击者能够利用缝隙提交特殊的要求，可未授权接见利用。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 沉要安全事务综述

1、HackerOne颁布第四届年度HACKER-POWERED安全汇报

HackerOne颁布第四届年度HACKER-POWERED安全汇报，称跨站点剧本（XSS）是最常见的缝隙类型，比2019年增长了134%。汇报显示，XSS缝隙占了汇报的所有缝隙的18%，总计获得了420万美元的奖金(比去年增长了26%)。此表，不当接见节造缝隙所获得的奖金额度比去年同比增长134％，高达到400万美元，其次是信息披露缝隙，同比增长63％。这两种方式城市泄露潜在的敏感数据，例如幼我身份信息。

原文链接：

hackerone.com/hacker-powered-security-report

2、Pulse Secure颁布企业推动零信赖网络的分析汇报

Pulse Secure颁布了有关企业推动零信赖网络的分析汇报。那些推动和规划零信赖流程和技术执行方向的组织，将走在数字转型曲线的前面。钻研发现，零信赖项目往往是跨学科的，汇集了安全和网络团队。他们通常使用三种合作方式，别离是协调分歧系统之间的接见安全节造(48%)、评估接见安全节造需要(41%)和凭据用户、角色、数据和利用法式界说接见需要(40%)。企业治理协会副总Shamus McGillicuddy暗示，企业显然在加快采取零信赖网络的措施。

原文链接：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、Google颁布安全更新，建复Chrome中已被利用的0day

Google颁布安全更新，建复Chrome中的10个缝隙，其中蕴含一个在野表已被积极利用的0day。该0day被追踪为CVE-2020-16009，由Google的威胁分析幼组（TAG）发现，但该幼组并未公开关于该缝隙的具体信息以及利用，仅暗示该缝隙位于处置JavaScript代码的Chrome组件V8中。不久后，Google又颁布了Android版Chrome中的0day的补丁法式，该缝隙被追踪为CVE-2020-16010，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢露马脚。

原文链接：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、思科披露其AnyConnect客户端中0day，尚无有关补丁

思科披露其AnyConnect客户端软件的0day，目前已有公开可用的概想验证利用代码，但尚无针对这个肆意代码执行缝隙的安全更新。该缝隙被追踪为CVE-2020-3556，存在于Cisco AnyConnect Client的过程间通讯（IPC）通路中，经过身份验证的攻击者和本地攻击者可利用该缝隙执行恶意剧本。该缝隙影响了Windows、Linux和macOS版本的AnyConnect客户端，只管没有补丁法式，但是能够通过禁用自动更新和终场启用剧本设置来缓解该问题。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、Apple颁布更新，建复已被积极利用的3个0day

Apple建复了其iOS 14.2中的3个0day，这些缝隙已在野表被积极利用并影响了iPhone、iPad和iPod。这次建复的缝隙别离为远程执行代码（RCE）缝隙（CVE-2020-27930 ），FontParser库处置恶意字体时由内存败坏问题导致；内核内存泄漏缝隙（CVE-2020-27950），该缝隙由内存初始化问题引起，允许恶意利用接见内核内存；内核提权缝隙(CVE-2020-27932)，由类型混合导致，可被利用来使用内核权限执行肆意代码。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

7*24幼时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】