优发国际网站官网

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第45周

宣布时间 2020-11-09

> 本周清静态势综述

2020年11月02日至11月08日共收录清静误差61个，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出误差；Google Android高通关闭源组件远程代码执行误差；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行误差；SaltStack Salt API恣意代码执行误差；Apache Shiro CVE-2020-17510授权绕过误差。

本周值得关注的网络清静事务是HackerOne宣布第四届年度HACKER-POWERED清静报告；Pulse Secure宣布企业推进零信托网络的剖析报告；Google宣布清静更新，修复Chrome中已被使用的0day；思科披露其AnyConnect客户端中0day，尚无相关补��；Apple宣布更新，修复已被起劲使用的3个0day。

凭证以上综述，本周清静威胁为中。

> 主要清静误差列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出误差

Adobe Acrobat Reader处置惩罚PDF文件保存缓冲区溢出误差，允许远程攻击者使用误差提交特殊的文件请求，诱使用户剖析，可使应用程序崩�；蛞杂τ贸绦蛏舷挛闹葱许б獯�。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通关闭源组件远程代码执行误差

Google Android高通关闭源组件保存清静误差，允许远程攻击者使用误差提交特殊的请求，可使应用程序崩�；蛞杂τ贸绦蛏舷挛闹葱许б獯�。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行误差

Oracle WebLogic Server Oracle Fusion Middleware Console保存清静误差，允许远程攻击者使用误差提交特殊的HTTP请求，可使系统崩�；蛘咭杂τ贸绦蛏舷挛闹葱许б獯�。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API恣意代码执行误差

SaltStack Salt API保存输入验证误差，允许远程攻击者使用误差提交特殊的请求，可未授权会见恣意代码。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过误差

Apache Shiro保存授权绕过误差，允许远程攻击者可以使用误差提交特殊的请求，可未授权会见应用。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 主要清静事务综述

1、HackerOne宣布第四届年度HACKER-POWERED清静报告

HackerOne宣布第四届年度HACKER-POWERED清静报告，称跨站点剧本（XSS）是最常见的误差类型，比2019年增添了134%。报告显示，XSS误差占了报告的所有误差的18%，总计获得了420万美元的奖金(比去年增添了26%)。别的，不当会见控制误差所获得的奖金额度比去年同比增添134％，高抵达400万美元，其次是信息披露误差，同比增添63％。这两种方法都会泄露潜在的敏感数据，例如小我私家身份信息。

原文链接：

hackerone.com/hacker-powered-security-report

2、Pulse Secure宣布企业推进零信托网络的剖析报告

Pulse Secure宣布了有关企业推进零信托网络的剖析报告。那些推动和妄想零信托流程和手艺实验偏向的组织，将走在数字转型曲线的前面。研究发明，零信托项目往往是跨学科的，搜集了清静和网络团队。他们通常使用三种协作方法，划分是协调差别系统之间的会见清静控制(48%)、评估会见清静控制需求(41%)和凭证用户、角色、数据和应用程序界说会见需求(40%)。企业治理协会副总Shamus McGillicuddy体现，企业显然正在加速接纳零信托网络的程序。

原文链接：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、Google宣布清静更新，修复Chrome中已被使用的0day

Google宣布清静更新，修复Chrome中的10个误差，其中包括一个在野外已被起劲使用的0day。该0day被追踪为CVE-2020-16009，由Google的威胁剖析小组（TAG）发明，但该小组并未果真关于该误差的详细信息以及使用，仅体现该误差位于处置惩罚JavaScript代码的Chrome组件V8中。不久后，Google又宣布了Android版Chrome中的0day的补丁程序，该误差被追踪为CVE-2020-16010，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢出误差。

原文链接：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、思科披露其AnyConnect客户端中0day，尚无相关补丁

思科披露其AnyConnect客户端软件的0day，现在已有果真可用的看法验证使用代码，但尚无针对这个恣意代码执行误差的清静更新。该误差被追踪为CVE-2020-3556，保存于Cisco AnyConnect Client的历程间通讯（IPC）通道中，经由身份验证的攻击者和外地攻击者可使用该误差执行恶意剧本。该误差影响了Windows、Linux和macOS版本的AnyConnect客户端，只管没有补丁程序，可是可以通过禁用自动更新和阻止启用剧本设置来缓解该问题。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、Apple宣布更新，修复已被起劲使用的3个0day

Apple修复了其iOS 14.2中的3个0day，这些误差已在野外被起劲使用并影响了iPhone、iPad和iPod。此次修复的误差划分为远程执行代码（RCE）误差（CVE-2020-27930 ），FontParser库处置惩罚恶意字体时由内存损坏问题导致；内核内存走漏误差（CVE-2020-27950），该误差由内存初始化问题引起，允许恶意应用会见内核内存；内核提权误差(CVE-2020-27932)，由类型混淆导致，可被使用来使用内核权限执行恣意代码。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号