百乐博

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第45周

宣布时间 2020-11-09

> 本周清静态势综述

2020年11月02日至11月08日共收录清静误差61个，，，，，值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出误差；；；；Google Android高通关闭源组件远程代码执行误差；；；；Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行误差；；；；SaltStack Salt API恣意代码执行误差；；；；Apache Shiro CVE-2020-17510授权绕过误差。。。

本周值得关注的网络清静事务是HackerOne宣布第四届年度HACKER-POWERED清静报告；；；；Pulse Secure宣布企业推进零信任网络的剖析报告；；；；Google宣布清静更新，，，，，修复Chrome中已被使用的0day；；；；思科披露其AnyConnect客户端中0day，，，，，尚无相关补�。。�；；；；Apple宣布更新，，，，，修复已被起劲使用的3个0day。。。

凭证以上综述，，，，，本周清静威胁为中。。。

> 主要清静误差列表

1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出误差

Adobe Acrobat Reader处置惩罚PDF文件保存缓冲区溢出误差，，，，，允许远程攻击者使用误差提交特殊的文件请求，，，，，诱使用户剖析，，，，，可使应用程序崩�；；；；蛞杂τ贸绦蛏舷挛闹葱许б獯�。。。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html

2.Google Android高通关闭源组件远程代码执行误差

Google Android高通关闭源组件保存清静误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可使应用程序崩�；；；；蛞杂τ贸绦蛏舷挛闹葱许б獯�。。。

https://source.android.com/security/bulletin/2020-11-01

3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码执行误差

Oracle WebLogic Server Oracle Fusion Middleware Console保存清静误差，，，，，允许远程攻击者使用误差提交特殊的HTTP请求，，，，，可使系统崩�；；；；蛘咭杂τ贸绦蛏舷挛闹葱许б獯�。。。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

4.SaltStack Salt API恣意代码执行误差

SaltStack Salt API保存输入验证误差，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，可未授权会见恣意代码。。。

https://www.auscert.org.au/bulletins/ESB-2020.3863/

5.Apache Shiro CVE-2020-17510授权绕过误差

Apache Shiro保存授权绕过误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可未授权会见应用。。。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E

> 主要清静事务综述

1、HackerOne宣布第四届年度HACKER-POWERED清静报告

HackerOne宣布第四届年度HACKER-POWERED清静报告，，，，，称跨站点剧本（XSS）是最常见的误差类型，，，，，比2019年增添了134%。。。报告显示，，，，，XSS误差占了报告的所有误差的18%，，，，，总计获得了420万美元的奖金(比去年增添了26%)。。。别的，，，，，不当会见控制误差所获得的奖金额度比去年同比增添134％，，，，，高抵达400万美元，，，，，其次是信息披露误差，，，，，同比增添63％。。。这两种方法都会泄露潜在的敏感数据，，，，，例如小我私家身份信息。。。

原文链接：

hackerone.com/hacker-powered-security-report

2、Pulse Secure宣布企业推进零信任网络的剖析报告

Pulse Secure宣布了有关企业推进零信任网络的剖析报告。。。那些推动和妄想零信任流程和手艺实验偏向的组织，，，，，将走在数字转型曲线的前面。。。研究发明，，，，，零信任项目往往是跨学科的，，，，，搜集了清静和网络团队。。。他们通常使用三种协作方法，，，，，划分是协调差别系统之间的会见清静控制(48%)、评估会见清静控制需求(41%)和凭证用户、角色、数据和应用程序界说会见需求(40%)。。。企业治理协会副总Shamus McGillicuddy体现，，，，，企业显然正在加速接纳零信任网络的程序。。。

原文链接：

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/

3、Google宣布清静更新，，，，，修复Chrome中已被使用的0day

Google宣布清静更新，，，，，修复Chrome中的10个误差，，，，，其中包括一个在野外已被起劲使用的0day。。。该0day被追踪为CVE-2020-16009，，，，，由Google的威胁剖析小组（TAG）发明，，，，，但该小组并未果真关于该误差的详细信息以及使用，，，，，仅体现该误差位于处置惩罚JavaScript代码的Chrome组件V8中。。。不久后，，，，，Google又宣布了Android版Chrome中的0day的补丁程序，，，，，该误差被追踪为CVE-2020-16010，，，，，为Chrome for Android用户界面（UI）组件中的堆缓冲区溢出误差。。。

原文链接：

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/

4、思科披露其AnyConnect客户端中0day，，，，，尚无相关补丁

思科披露其AnyConnect客户端软件的0day，，，，，现在已有果真可用的看法验证使用代码，，，，，但尚无针对这个恣意代码执行误差的清静更新。。。该误差被追踪为CVE-2020-3556，，，，，保存于Cisco AnyConnect Client的历程间通讯（IPC）通道中，，，，，经由身份验证的攻击者和外地攻击者可使用该误差执行恶意剧本。。。该误差影响了Windows、Linux和macOS版本的AnyConnect客户端，，，，，只管没有补丁程序，，，，，可是可以通过禁用自动更新和阻止启用剧本设置来缓解该问题。。。

原文链接：

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

5、Apple宣布更新，，，，，修复已被起劲使用的3个0day

Apple修复了其iOS 14.2中的3个0day，，，，，这些误差已在野外被起劲使用并影响了iPhone、iPad和iPod。。。此次修复的误差划分为远程执行代码（RCE）误差（CVE-2020-27930 ），，，，，FontParser库处置惩罚恶意字体时由内存损坏问题导致；；；；内核内存走漏误差（CVE-2020-27950），，，，，该误差由内存初始化问题引起，，，，，允许恶意应用会见内核内存；；；；内核提权误差(CVE-2020-27932)，，，，，由类型混淆导致，，，，，可被使用来使用内核权限执行恣意代码。。。

原文链接：

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 百乐博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】