首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2021年第47周

宣布时间 2021-11-22

>本周清静态势综述

本周共收录清静误差67个，值得关注的是Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出误差；Google Chrome media内存过失引用代码执行误差；Lantronix PremierWave 2050 CVE-2021-21888下令注入误差；Adobe Media Encoder M4A缓冲区溢出误差；Apache ShenYu未授权会见误差。

本周值得关注的网络清静事务是FBI邮件系统遭到入侵发送数十万条虚伪的攻击警报；网信办宣布《网络数据清静治理条例（征求意见稿）》；Facebook发明SideCopy伪造Android应用市肆的攻击；Google宣布11月更新，修复Chrome中的多个误差；Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击。

凭证以上综述，本周清静威胁为中。

>主要清静误差列表

1. Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出误差

Advantech WebAccess HMI Designer项目文件处置惩罚保存堆溢出误差，允许远程攻击者可以使用误差提交特殊的文件请求，诱使用户剖析，可使应用程序崩�；蚩梢杂τ贸绦蛏舷挛闹葱许б獯�。

https://us-cert.cisa.gov/ics/advisories/icsa-21-173-01

2. Google Chrome media内存过失引用代码执行误差

Google Chrome media保存释放后使用误差，允许远程攻击者可以使用误差提交特殊的WEB页请求，诱使用户剖析，可使应用程序崩�；蚩梢杂τ贸绦蛏舷挛闹葱许б獯�。

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

3. Lantronix PremierWave 2050 CVE-2021-21888下令注入误差

Lantronix PremierWave 2050处置惩罚HTTP请求验证保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可以应用程序上下文执行恣意下令。

https://talosintelligence.com/vulnerability_reports/TALOS-2021-1332

4. Adobe Media Encoder M4A缓冲区溢出误差

Adobe Media Encoder M4A保存缓冲区溢出误差，允许远程攻击者可以使用误差提交特殊的文件请求，诱使用户剖析，可使应用程序崩�；蛞杂τ贸绦蛏舷挛闹葱许б獯�。

https://helpx.adobe.com/security/products/media-encoder/apsb21-70.html

5. Apache ShenYu未授权会见误差

Apache ShenYu Admin ShenyuAdminBootstrap保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可绕过清静限制未授权会见。

https://lists.apache.org/thread/o15j25qwtpcw62k48xw1tnv48skh3zgb

>主要清静事务综述

1、FBI邮件系统遭到入侵发送数十万条虚伪的攻击警报

FBI邮件系统在11月13日遭到入侵，被用来发送数十万条虚伪的攻击警报。这些邮件冒充领土清静部 (DHS)，声称收件人遭到了来自Vinny Troia的链式攻击。但此人是清静公司NightLion和Shadowbyte的认真人，研究职员推断此次运动旨在诋毁清静职员Troia。Spamhaus公司体现，这些邮件都来自FBI执法企业门户（LEEP）的正外地点eims@ic.fbi.gov，IP地点为153.31.119.142(mx-east-ic.fbi.gov)。FBI称由于软件按设置过失，使得攻击者可以使用LEEP发送伪造的邮件。

原文链接：

https://securityaffairs.co/wordpress/124570/cyber-crime/fbi-hacked-email-server.html

2、网信办宣布《网络数据清静治理条例（征求意见稿）》

国家网信办于11月14日宣布了《网络数据清静治理条例（征求意见稿）》的果真征求意见通知。阻止今年6月，我国网民规模达10.11亿，由此爆发的网络数据量更是天文数字。该条例规范网络数据处置惩罚运动，�；ば∥宜郊摇⒆橹谕缈占涞恼比ㄒ�，维护国家清静和公共利益。中国互联网协会法工委副秘书长胡钢指出，这是新时代规范互联网平台企业，强化反垄断和资源无序扩张的应有之义，也是维护国家清静、�；ど缁峁怖娴男枰�。

原文链接：

http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

3、Facebook发明SideCopy伪造Android应用市肆的攻击

Facebook的清静团队在11月16日披露了巴基斯坦黑客团伙SideCopy新一轮的垂纶运动。此次运动在今年4月至8月之间，建设并运营了一个伪造的Android应用市肆。攻击者主要通�；崦俺淠昵崤岳纯拷康�，诱使其翻开用来用来网络信息的垂纶网站或者伪造的Android应用市肆。然后通过伪装成谈天应用的恶意软件，分发PJobRAT和Mayhem等。

原文链接：

https://therecord.media/pakistani-hackers-operated-a-fake-app-store-to-target-former-afghan-officials/

4、Google宣布11月更新，修复Chrome中的多个误差

11月16日，Google宣布了本月Chrome的清静更新，总计修复了25个误差。其中，较为严重的是在媒体中的释放后使用误差（CVE-2021-38008）、V8中的类型混淆误差（CVE-2021-38007）和加载器中释放后使用误差（CVE-2021-38005）等。别的，还修复了指纹识别中的堆缓冲区溢出误差（CVE-2021-38013）和Swiftshader中的越界写入（CVE-2021-38014）等误差。

原文链接：

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

5、Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击

美国网络清静公司Cloudflare在11月15日宣布其抵御了迄今为止遇到的最大攻击DDoS攻击，峰值略低于2 Tbps。此次攻击运动是团结了DNS放大攻击和UDP泛洪的多向量攻击，整个历程只一连了一分钟，来自约15000个机械人组成的僵尸网络Mirai变种。Cloudflare报告称第三季度网络层DDoS攻击运动比上一季度增添了44%，该公司在8月抵御了每秒1720万次请求的DDoS攻击，微软在10月称其云服务Azure抵御了2.4 Tbps的DDoS攻击。

原文链接：

https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2021年第47周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线