信息清静周报-2020年第17周

宣布时间 2020-04-28

> 本周清静态势综述


2020年04月20日至26日共收录清静误差54个,值得关注的是Apple macOS Mail Javascript代码执行误差; Google Chrome payments内存过失引用代码执行误差;Sonatype Nexus Repository Manager权限提升误差;通达OA恣意用户登录误差;Contiki-NG越界写代码执行误差。


本周值得关注的网络清静事务是加拿大儿童游戏网站Webkinz近2300万用户数据泄露;FPGA芯片Starbleed误差,影响赛灵思多个产品;CNCERT宣布《2019年我国互联网网络清静态势综述》报告;研究职员披露IBM企业清静软件中的4个0day;微软宣布紧迫更新,修复Office和Paint 3D中多个误差。


凭证以上综述,本周清静威胁为中。


>主要清静误差列表


1. Apple macOS Mail Javascript代码执行误差


Apple macOS Mail保存代码注入误差,允许远程攻击者使用误差提交特殊的请求,可以应用程序上下文执行恣意JavaScript代码。。

https://support.apple.com/en-us/HT211100


2. Google Chrome payments内存过失引用代码执行误差


Google Chrome payments保存释放后使用误差,允许远程攻击者使用误差提交特殊的WEB请求,诱使用户剖析,可举行拒绝服务攻击或以应用程序上下文执行恣意码。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html


3. Sonatype Nexus Repository Manager权限提升误差


Sonatype Nexus Repository Manager实现保存清静误差,允许远程攻击者使用误差提交特殊的请求,可提升特权,举行建设,修改,执行使命。

https://support.sonatype.com/hc/en-us/articles/360046233714


4. 通达OA恣意用户登录误差


通达OA登录实现保存清静误差,允许远程攻击者使用误差提交特殊的请求,可以恣意用户上下文登录。

https://cert.360.cn/warning/detail?id=d2689a877c01a9712d148317c2da21a2


5. Contiki-NG越界写代码执行误差


Contiki-NG os/net/ipv6/sicslowpan.c在处置惩罚6LoWPAN分片重组保存越界写误差,允许远程攻击者使用误差提交特殊的请求,可使应用程序崩�;蛑葱许б獯�。

https://github.com/contiki-ng/contiki-ng/pull/972


> 主要清静事务综述


1、加拿大儿童游戏网站Webkinz近2300万用户数据泄露


优发国际·随优而动一触即发


加拿大著名玩具公司Ganz旗下的儿童游戏网站Webkinz遭到黑客入侵,近2300万玩家的用户名和密码泄露,其中泄露的密码使用了MD5-Crypt算法加密。据ZDNet报道,黑客是使用网站中的SQL注入误差入侵游戏数据库的,据称该误差的细节已在黑客论坛中撒播了几个月。黑客可能还偷取了哈希加密的电子邮件地点。新闻人士称Webkinz员工已经修复了黑客使用的误差,但Ganz尚未对此事务举行回应。


原文链接:

https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/


2、FPGA芯片Starbleed误差,影响赛灵思多个产品


优发国际·随优而动一触即发


研究职员发明FPGA芯片保存Starbleed误差,影响了赛灵思7系列的Spartan、Artix、Kintex、Virtex子系列多个产品。由于误差为硬件级别误差,因而只能通过替换芯片来修复误差。清静研究职员发明可以通过解密被加密的比特流来会见和修改用于编程的文件。因此,黑客可以使用该误差完全控制FPGA芯片,并且可能偷取比特流中的知识产权。德国Max Planck研究所的Christof Paar教授体现,攻击者甚至可以举行远程攻击,或是向FPGA芯片植入硬件木马。


原文链接:

https://www.helpnetsecurity.com/2020/04/20/starbleed-vulnerability/


3、CNCERT宣布《2019年我国互联网网络清静态势综述》报告


优发国际·随优而动一触即发


国家互联网应急中心(CNCERT)于2020年4月20日宣布了《2019年我国互联网网络清静态势综述》报告。该报告驻足于CNCERT网络清静宏观监测数据与事情实践报告,涉及2019年典范网络清静事务、网络清静新趋势及一样平常网络清静事务应急处置惩罚实践等内容。报告主要包括四个部分,一是总结2019年我国互联网网络清静状态,二是展望2020年网络清静热门,三是团结网络清静态势剖析提出对策建议,四是梳理网络清静监测数据。该报告对我国党政机关、行业企业及全社会相识我国网络清静形势,提高网络清静意识,做好网络清静事情提供了有力参考。


原文链接:

http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm


4、研究职员披露IBM企业清静软件中的4个0day


优发国际·随优而动一触即发


清静研究职员在剖析IBM Data Risk Manager(IDRM)时发明了4个0day,划分为身份验证绕过误差、下令注入误差、不清静的默认密码误差以及恣意文件下载误差。这些误差可以单独使用也可以组合使用,组合使用前三个误差可以使攻击者以root权限远程执行代码,组合使用第一个和第四个误差可以使未授权的攻击者下载恣意文件。误差的披露者Ribeiro体现,IDRM是处置惩罚敏感信息的企业清静产品,若是其遭到攻击会导致公司利益严重受损,因此在IBM拒绝接受误差报告后选择将其宣布出来。现在,IBM公司修复了IDRM2.0.1及更高版本中的恣意文件下载误差和下令注入误差,并且正在视察身份验证绕过误差。


原文链接:

https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/


5、微软宣布紧迫更新,修复Office和Paint 3D中多个误差


优发国际·随优而动一触即发


Microsoft宣布了紧迫清静更新,以修复使用了Autodesk FBX库的Microsoft产品,包括多个版本的Microsoft Office和Windows 10应用程序Paint 3D。本次修复的误差为FBX库中的远程执行代码误差,攻击者使用此误差可以获得与外地用户相同的权限,Autodesk在4月15日推出了针对此误差的补丁程序。Microsoft体现,黑客必需诱使用户翻开其特制的3D文件才可以乐成使用此误差,因此,在清静更新之前用户需要远离那些可疑文件以包管清静。


原文链接:

https://news.softpedia.com/news/microsoft-releases-emergency-update-for-windows-10-app-microsoft-office-529800.shtml