鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第45周

宣布时间 2020-11-09

> 本周清静态势综述

2020年11月02日至11月08日共收录清静误差61个，，，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出误差；；；；；；Google Android高通关闭源组件远程代码执行误差；；；；；；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行误差；；；；；；SaltStack Salt API恣意代码执行误差；；；；；；Apache Shiro CVE-2020-17510授权绕过误差。。。。。。

本周值得关注的网络清静事务是HackerOne宣布第四届年度HACKER-POWERED清静报告；；；；；；Pulse Secure宣布企业推进零信任网络的剖析报告；；；；；；Google宣布清静更新，，，修复Chrome中已被使用的0day；；；；；；思科披露其AnyConnect客户端中0day，，，尚无相关补丁！�。。。。�；；；；；Apple宣布更新，，，修复已被起劲使用的3个0day。。。。。。

凭证以上综述，，，本周清静威胁为中。。。。。。

> 主要清静误差列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出误差

Adobe Acrobat Reader处置惩罚PDF文件保存缓冲区溢出误差，，，允许远程攻击者使用误差提交特殊的文件请求，，，诱使用户剖析，，，可使应用程序瓦解�；；；；；蛞杂τ贸绦蛏舷挛闹葱许б獯搿！�。。。。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通关闭源组件远程代码执行误差

Google Android高通关闭源组件保存清静误差，，，允许远程攻击者使用误差提交特殊的请求，，，可使应用程序瓦解�；；；；；蛞杂τ贸绦蛏舷挛闹葱许б獯搿！�。。。。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行误差

Oracle WebLogic Server Oracle Fusion Middleware Console保存清静误差，，，允许远程攻击者使用误差提交特殊的HTTP请求，，，可使系统瓦解�；；；；；蛘咭杂τ贸绦蛏舷挛闹葱许б獯搿！�。。。。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API恣意代码执行误差

SaltStack Salt API保存输入验证误差，，，允许远程攻击者使用误差提交特殊的请求，，，可未授权会见恣意代码。。。。。。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过误差

Apache Shiro保存授权绕过误差，，，允许远程攻击者可以使用误差提交特殊的请求，，，可未授权会见应用。。。。。。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 主要清静事务综述

1、HackerOne宣布第四届年度HACKER-POWERED清静报告

HackerOne宣布第四届年度HACKER-POWERED清静报告，，，称跨站点剧本（XSS）是最常见的误差类型，，，比2019年增添了134%。。。。。。报告显示，，，XSS误差占了报告的所有误差的18%，，，总计获得了420万美元的奖金(比去年增添了26%)。。。。。。别的，，，不当会见控制误差所获得的奖金额度比去年同比增添134％，，，高抵达400万美元，，，其次是信息披露误差，，，同比增添63％。。。。。。这两种方法都会泄露潜在的敏感数据，，，例如小我私家身份信息。。。。。。

原文链接：

hackerone.com/hacker-powered-security-report

2、Pulse Secure宣布企业推进零信任网络的剖析报告

Pulse Secure宣布了有关企业推进零信任网络的剖析报告。。。。。。那些推动和妄想零信任流程和手艺实验偏向的组织，，，将走在数字转型曲线的前面。。。。。。研究发明，，，零信任项目往往是跨学科的，，，搜集了清静和网络团队。。。。。。他们通常使用三种协作方法，，，划分是协调差别系统之间的会见清静控制(48%)、评估会见清静控制需求(41%)和凭证用户、角色、数据和应用程序界说会见需求(40%)。。。。。。企业治理协会副总Shamus McGillicuddy体现，，，企业显然正在加速接纳零信任网络的程序。。。。。。

原文链接：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、Google宣布清静更新，，，修复Chrome中已被使用的0day

Google宣布清静更新，，，修复Chrome中的10个误差，，，其中包括一个在野外已被起劲使用的0day。。。。。。该0day被追踪为CVE-2020-16009，，，由Google的威胁剖析小组（TAG）发明，，，但该小组并未果真关于该误差的详细信息以及使用，，，仅体现该误差位于处置惩罚JavaScript代码的Chrome组件V8中。。。。。。不久后，，，Google又宣布了Android版Chrome中的0day的补丁程序，，，该误差被追踪为CVE-2020-16010，，，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢出误差。。。。。。

原文链接：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、思科披露其AnyConnect客户端中0day，，，尚无相关补丁

思科披露其AnyConnect客户端软件的0day，，，现在已有果真可用的看法验证使用代码，，，但尚无针对这个恣意代码执行误差的清静更新。。。。。。该误差被追踪为CVE-2020-3556，，，保存于Cisco AnyConnect Client的历程间通讯（IPC）通道中，，，经由身份验证的攻击者和外地攻击者可使用该误差执行恶意剧本。。。。。。该误差影响了Windows、Linux和macOS版本的AnyConnect客户端，，，只管没有补丁程序，，，可是可以通过禁用自动更新和阻止启用剧本设置来缓解该问题。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、Apple宣布更新，，，修复已被起劲使用的3个0day

Apple修复了其iOS 14.2中的3个0day，，，这些误差已在野外被起劲使用并影响了iPhone、iPad和iPod。。。。。。此次修复的误差划分为远程执行代码（RCE）误差（CVE-2020-27930 ），，，FontParser库处置惩罚恶意字体时由内存损坏问题导致；；；；；；内核内存走漏误差（CVE-2020-27950），，，该误差由内存初始化问题引起，，，允许恶意应用会见内核内存；；；；；；内核提权误差(CVE-2020-27932)，，，由类型混淆导致，，，可被使用来使用内核权限执行恣意代码。。。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】