鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第37周

宣布时间 2020-09-14

> 本周清静态势综述

2020年09月07日至09月13日共收录清静误差57个，，，，，，，值得关注的是SAP Solution Manager验证检查缺失误差；；；；；；；Tenda AC18 Router代码执行误差；；；；；；；Android mediaframework CVE-2020-0245代码执行误差；；；；；；；Microsoft ChakraCore CVE-2020-1172内存破损代码执行误差；；；；；；；Project Worlds Car Rental Management System恣意文件上传误差。。。。。

本周值得关注的网络清静事务是WhatsApp披露其应用中的6个误差，，，，，，，现已修复；；；；；；；启用Hyper-V的Win10系统中保存0day，，，，，，，可建设文件；；；；；；；微软宣布9月份清静更新，，，，，，，总计修复129个误差；；；；；；；Adobe宣布清静更新，，，，，，，修复多款产品中的12个误差；；；；；；；CodeMeter中保存严重误差，，，，，，，可导致OT供应链攻击。。。。。

凭证以上综述，，，，，，，本周清静威胁为中。。。。。

> 主要清静误差列表

1.SAP Solution Manager验证检查缺失误差

SAP Solution Manager保存验证检查缺失误差，，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，，未授权控制会见应用。。。。。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700

2. Tenda AC18 Router代码执行误差

Tenda AC18 Router /usr/lib/lua/lua/ngx_authserver/ngx_wdas中的logincheck（）函数的身份验证处置惩罚保存误差，，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，，未授权执行恣意代码。。。。。

https://www.tendacn.com/en/product/AC18.html

3.Android mediaframework CVE-2020-0245代码执行误差

Android mediaframework保存清静误差，，，，，，，允许远程攻击者使用误差提交特殊的文件请求，，，，，，，诱使用户剖析，，，，，，，可使应用程序崩�；；；；；；；蛘咭韵低成舷挛闹葱许б獯搿�。。。。

https://source.android.com/security/bulletin/2020-09-01

4. Microsoft ChakraCore CVE-2020-1172内存破损代码执行误差

Microsoft ChakraCore保存内存破损误差，，，，，，，允许远程攻击者使用误差提交特殊的WEB请求，，，，，，，诱使用户剖析，，，，，，，可使应用程序崩�；；；；；；；蛘咭杂τ贸绦蛏舷挛闹葱许б獯搿�。。。。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1172

5. Project Worlds Car Rental Management System恣意文件上传误差

Project Worlds Car Rental Management System车图像上传组件保存清静误差，，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，，可上传恣意文件，，，，，，，并执行恣意代码。。。。。

https://github.com/hyd3sec/CarRentalManagement-Unauth-RCE-WebApp

> 主要清静事务综述

1、WhatsApp披露其应用中的6个误差，，，，，，，现已修复

WhatsApp披露其应用中保存的6个误差，，，，，，，现已修复。。。。。此次修复的误差中较为严重的为客栈写入溢出误差（CVE-2020-1894），，，，，，，可导致恣意代码执行，，，，，，，32位装备保存的写溢出误差（CVE-2020-1891）和URL验证问题（CVE-2020-1890），，，，，，，可导致黑客在没有与用户交互的情形下从发件人的URL加载图像。。。。。其他误差为清静检测绕过问题（CVE-2020-1889的）、缓冲区溢出误差（CVE-2020-1886）和输入验证问题（CVE-2019-11928）。。。。。

原文链接：

https://securityaffairs.co/wordpress/107950/security/whatsapp-undisclosed-flaws.html

2、启用Hyper-V的Win10系统中保存0day，，，，，，，可建设文件

逆向工程师Jonas Lykkegaard在启用了Hyper-V的Windows 10系统中发明了一个新的0day，，，，，，，该误差可被使用在受影响的操作系统中建设文件。。。。。在Hyper-V处于活动状态时，，，，，，，攻击者可使用该误差在\ system32中建设文件，，，，，，，并且不需要举行提权。。。。。由于文件的建设者也是所有者，，，，，，，因此攻击者可以使用该文件将恶意代码注入系统内部，，，，，，，并在需要时使用提升的权限执行该恶意代码。。。。。CERT/CC误差剖析师Will Dormann 体现，，，，，，，攻击者险些不需要做任何起劲便可以使用该误差。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/

3、微软宣布9月份清静更新，，，，，，，总计修复129个误差

微软宣布了9月份清静更新，，，，，，，总计修复129个误差，，，，，，，其中包括23个严重误差。。。。。只管此次更新中并没有0day，，，，，，，但仍有许多误差可被远程使用。。。。。此次修复的就为严重的三个误差划分为Microsoft Exchange内存损坏误差（CVE-2020-16875），，，，，，，远程攻击者使用该误差可以仅通过向Exchange效劳器发送特制电子邮件远程执行代码，，，，，，，Windows远程执行代码的Microsoft COM误差（CVE-2020-0922），，，，，，，可以通过诱使用户会见带有恶意JavaScript的站点来加以使用，，，，，，，以及Windows文本效劳模浚浚�？？樵冻讨葱写胛蟛睿–VE-2020-0908），，，，，，，可以通过诱使用户会见包括恶意广告的网站来加以使用。。。。。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2020-patch-tuesday-fixes-129-vulnerabilities/

4、Adobe宣布清静更新，，，，，，，修复多款产品中的12个误差

Adobe宣布清静更新，，，，，，，已修复影响其Adobe InDesign、Adobe Framemaker和Adobe Experience Manager产品中的12个代码执行误差。。。。。此次更新修复了Adobe InDesign中因内存损坏导致的恣意代码执行误差（CVE-2020-9727、CVE-2020-9728、CVE-2020-9729、CVE-2020-9730和CVE-2020-9731），，，，，，，Framemaker中越界读取导致的代码执行误差（CVE-2020-9726）和基于客栈的缓冲区溢出的代码执行误差（CVE-2020-9725 ），，，，，，，以及Experience Manager中的多个XSS误差。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-vulnerabilities-in-indesign-and-framemaker/

5、CodeMeter中保存严重误差，，，，，，，可导致OT供应链攻击

Claroty发明西门子等顶级ICS供应商使用的第三方工业组件CodeMeter中保存6个严重的误差，，，，，，，或将导致OT供应链攻击，，，，，，，这些误差的CVSS评分均为10.0。。。。。CISA体现，，，，，，，攻击者乐成使用这些误差后可更改和伪造允许证文件，，，，，，，导致拒绝效劳情形，，，，，，，潜在地实现远程执行代码、读取堆数据并阻止依赖CodeMeter的第三方软件的正常运行。。。。。其中最严重的误差可通过破损CodeMeter通讯协媾和内部AP以I远程执行代码，，，，，，，实现ICS系统的完全接受。。。。。

原文链接：

https://www.infosecurity-magazine.com/news/critical-bugs-enable-ot-supply/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】