信息安全周报-2020年第17周

发布时间 2020-04-28

> 本周安全态势综述


2020年04月20日至26日共收录安全漏洞54个,值得关注的是Apple macOS Mail Javascript代码实行漏洞; 谷歌 Chrome payments内存错误引用代码实行漏洞;Sonatype Nexus Repository Manager权限提升漏洞;通达OA任意用户登录漏洞;Contiki-NG越界写代码实行漏洞。


本周值得关注的网络安全事件是加拿大儿童游戏网站Webkinz近2300万用户数据泄露;FPGA芯片Starbleed漏洞,影响赛灵思多个产品;CNCERT发布《2019年我国互联网网络安全态势综述》报告;研究人员披露IBM企业安全App中的4个0day;MicroSoft发布紧急更新,修复Office和Paint 3D中多个漏洞。


根据以上综述,本周安全威胁为中。


>重要安全漏洞列表


1. Apple macOS Mail Javascript代码实行漏洞


Apple macOS Mail存在代码注入漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意JavaScript代码。。

https://support.apple.com/en-us/HT211100


2. 谷歌 Chrome payments内存错误引用代码实行漏洞


谷歌 Chrome payments存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可进行拒绝服务攻击或以应用程序上下文实行任意码。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html


3. Sonatype Nexus Repository Manager权限提升漏洞


Sonatype Nexus Repository Manager实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可提升特权,进行创建,修改,实行任务。

https://support.sonatype.com/hc/en-us/articles/360046233714


4. 通达OA任意用户登录漏洞


通达OA登录实现存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以任意用户上下文登录。

https://cert.360.cn/warning/detail?id=d2689a877c01a9712d148317c2da21a2


5. Contiki-NG越界写代码实行漏洞


Contiki-NG os/net/ipv6/sicslowpan.c在处理6LoWPAN分片重组存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或实行任意代码。

https://github.com/contiki-ng/contiki-ng/pull/972


> 重要安全事件综述


1、加拿大儿童游戏网站Webkinz近2300万用户数据泄露



加拿大著名玩具企业Ganz旗下的儿童游戏网站Webkinz遭到黑客入侵,近2300万玩家的用户名和密码泄露,其中泄露的密码使用了MD5-Crypt算法加密。据ZDNet报道,黑客是利用网站中的SQL注入漏洞入侵游戏数据库的,据称该漏洞的细节已在黑客论坛中传播了几个月。黑客可能还盗取了哈希加密的电子邮件地址。消息人士称Webkinz员工已经修复了黑客使用的漏洞,但Ganz尚未对此事件进行回应。


原文链接:

https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/


2、FPGA芯片Starbleed漏洞,影响赛灵思多个产品



研究人员发现FPGA芯片存在Starbleed漏洞,影响了赛灵思7系列的Spartan、Artix、Kintex、Virtex子系列多个产品。由于漏洞为硬件级别漏洞,因而只能通过更换芯片来修复漏洞。安全研究人员发现可以通过解密被加密的比特流来访问和修改用于编程的文件。因此,黑客可以利用该漏洞完全控制FPGA芯片,并且可能盗取比特流中的常识产权。德国Max Planck研究所的Christof Paar教授表示,攻击者甚至可以进行远程攻击,或是向FPGA芯片植入硬件木马。


原文链接:

https://www.helpnetsecurity.com/2020/04/20/starbleed-vulnerability/


3、CNCERT发布《2019年我国互联网网络安全态势综述》报告



国家互联网应急中心(CNCERT)于2020年4月20日发布了《2019年我国互联网网络安全态势综述》报告。该报告立足于CNCERT网络安全宏观监测数据与工作实践报告,涉及2019年典型网络安全事件、网络安全新趋势及日常网络安全事件应急处置实践等内容。报告主要包含四个部分,一是总结2019年我国互联网网络安全状况,二是预测2020年网络安全热点,三是结合网络安全态势分析提出对策建议,四是梳理网络安全监测数据。该报告对我国党政机关、行业企业及全社会了解我国网络安全形势,提高网络安全意识,做好网络安全工作提供了有力参考。


原文链接:

http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm


4、研究人员披露IBM企业安全App中的4个0day



安全研究人员在分析IBM Data Risk Manager(IDRM)时发现了4个0day,分别为身份验证绕过漏洞、命令注入漏洞、不安全的默认密码漏洞以及任意文件下载漏洞。这些漏洞可以单独使用也可以组合使用,组合使用前三个漏洞可以使攻击者以root权限远程实行代码,组合使用第一个和第四个漏洞可以使未授权的攻击者下载任意文件。漏洞的披露者Ribeiro表示,IDRM是处理敏感信息的企业安全产品,如果其遭到攻击会导致企业利益严重受损,因此在IBM拒绝接受漏洞报告后选择将其发布出来。目前,IBM企业修复了IDRM2.0.1及更高版本中的任意文件下载漏洞和命令注入漏洞,并且正在调查身份验证绕过漏洞。


原文链接:

https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/


5、MicroSoft发布紧急更新,修复Office和Paint 3D中多个漏洞



微软发布了紧急安全更新,以修复使用了Autodesk FBX库的微软产品,包括多个版本的微软 Office和Windows 10应用程序Paint 3D。本次修复的漏洞为FBX库中的远程实行代码漏洞,攻击者利用此漏洞可以获得与本地用户相同的权限,Autodesk在4月15日推出了针对此漏洞的补丁程序。微软表示,黑客必须诱使用户打开其特制的3D文件才可以成功利用此漏洞,因此,在安全更新之前用户需要远离那些可疑文件以保证安全。


原文链接:

https://news.softpedia.com/news/microsoft-releases-emergency-update-for-windows-10-app-microsoft-office-529800.shtml