網絡信息安全周報-2020年第 45 周
> 本周安全態勢綜述
2020年11月02日至11月08日共收錄安全漏洞61個,值得關注的是Adobe Acrobat Reader CVE-2020-24435堆緩沖區溢出漏洞;Google Android高通封閉源組件遠程代碼執行漏洞;Oracle WebLogic Server Oracle Fusion Middleware Console遠程代碼執行漏洞;SaltStack Salt API任意代碼執行漏洞;Apache Shiro CVE-2020-17510授權繞過漏洞。
本周值得關注的網絡安全事件是HackerOne發布第四屆年度HACKER-POWERED安全報告;Pulse Secure發布企業推進零信任網絡的分析報告;Google發布安全更新,修復Chrome中已被利用的0day;思科披露其AnyConnect客戶端中0day,尚無相關補丁;Apple發布更新,修復已被積極利用的3個0day。
根據以上綜述,本周安全威脅為中。
> 本周安全態勢綜述
1.Adobe Acrobat Reader CVE-2020-24435堆緩沖區溢出漏洞
Adobe Acrobat Reader處理PDF文件存在緩沖區溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。
https://helpx.adobe.com/security/products/...
2.Google Android高通封閉源組件遠程代碼執行漏洞
Google Android高通封閉源組件存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。
https://source.android.com/security/bullet...
3.Oracle WebLogic Server Oracle Fusion Middleware Console遠程代碼執行漏洞
Oracle WebLogic Server Oracle Fusion Middleware Console存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的HTTP請求,可使系統崩潰或者以應用程序上下文執行任意代碼。
https://www.oracle.com/security-alerts/ale...
4.SaltStack Salt API任意代碼執行漏洞
SaltStack Salt API存在輸入驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可未授權訪問任意代碼。
https://www.auscert.org.au/bulletins/ESB-2...
5.Apache Shiro CVE-2020-17510授權繞過漏洞
Apache Shiro存在授權繞過漏洞,允許遠程攻擊者可以利用漏洞提交特殊的請求,可未授權訪問應用。
https://lists.apache.org/thread.html/rc2cf...
> 重要安全事件綜述
1、HackerOne發布第四屆年度HACKER-POWERED安全報告
HackerOne發布第四屆年度HACKER-POWERED安全報告,稱跨站點腳本(XSS)是最常見的漏洞類型,比2019年增加了134%。報告顯示,XSS漏洞占了報告的所有漏洞的18%,總計獲得了420萬美元的獎金(比去年增加了26%)。此外,不當訪問控制漏洞所獲得的獎金額度比去年同比增長134%,高達到400萬美元,其次是信息披露漏洞,同比增長63%。這兩種方式都會泄露潛在的敏感數據,例如個人身份信息。
原文鏈接:
hackerone.com/hacker-powered-security-report
2、Pulse Secure發布企業推進零信任網絡的分析報告
Pulse Secure發布了有關企業推進零信任網絡的分析報告。那些推動和規劃零信任流程和技術實施方向的組織,將走在數字轉型曲線的前面。研究發現,零信任項目往往是跨學科的,匯集了安全和網絡團隊。他們通常使用三種協作方式,分別是協調不同系統之間的訪問安全控制(48%)、評估訪問安全控制需求(41%)和根據用戶、角色、數據和應用程序定義訪問需求(40%)。企業管理協會副總Shamus McGillicuddy表示,企業顯然正在加快采取零信任網絡的步伐。
原文鏈接:
https://www.pulsesecure.net/resource/pulse...
3、Google發布安全更新,修復Chrome中已被利用的0day
Google發布安全更新,修復Chrome中的10個漏洞,其中包括一個在野外已被積極利用的0day。該0day被追蹤為CVE-2020-16009,由Google的威脅分析小組(TAG)發現,但該小組并未公開關于該漏洞的詳細信息以及利用,僅表示該漏洞位于處理JavaScript代碼的Chrome組件V8中。不久后,Google又發布了Android版Chrome中的0day的補丁程序,該漏洞被追蹤為CVE-2020-16010,為Chrome for Android用戶界面(UI)組件中的堆緩沖區溢出漏洞。
原文鏈接:
https://www.zdnet.com/article/google-patch...
4、思科披露其AnyConnect客戶端中0day,尚無相關補丁
思科披露其AnyConnect客戶端軟件的0day,目前已有公開可用的概念驗證利用代碼,但尚無針對這個任意代碼執行漏洞的安全更新。該漏洞被追蹤為CVE-2020-3556,存在于Cisco AnyConnect Client的進程間通信(IPC)通道中,經過身份驗證的攻擊者和本地攻擊者可利用該漏洞執行惡意腳本。該漏洞影響了Windows、Linux和macOS版本的AnyConnect客戶端,盡管沒有補丁程序,但是可以通過禁用自動更新和停止啟用腳本設置來緩解該問題。
原文鏈接:
https://www.bleepingcomputer.com/news/secu...
5、Apple發布更新,修復已被積極利用的3個0day
Apple修復了其iOS 14.2中的3個0day,這些漏洞已在野外被積極利用并影響了iPhone、iPad和iPod。此次修復的漏洞分別為遠程執行代碼(RCE)漏洞(CVE-2020-27930 ),FontParser庫處理惡意字體時由內存損壞問題導致;內核內存泄漏漏洞(CVE-2020-27950),該漏洞由內存初始化問題引起,允許惡意應用訪問內核內存;內核提權漏洞(CVE-2020-27932),由類型混淆導致,可被利用來使用內核權限執行任意代碼。
原文鏈接:
