信息安全周报-2020年第45周

发布时间 2020-11-09

> 本周安全态势综述


2020年11月02日至11月08日共收录安全漏洞61个,值得关注的是Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出漏洞;谷歌 Android高通封闭源组件远程代码实行漏洞;Oracle WebLogic Server Oracle Fusion Middleware Console远程代码实行漏洞;SaltStack Salt API任意代码实行漏洞;Apache Shiro CVE-2020-17510授权绕过漏洞。


本周值得关注的网络安全事件是HackerOne发布第四届年度HACKER-POWERED安全报告;Pulse Secure发布企业推进零信任网络的分析报告;谷歌发布安全更新,修复Chrome中已被利用的0day;思科披露其AnyConnect客户端中0day,尚无相关补丁;Apple发布更新,修复已被积极利用的3个0day。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1.Adobe Acrobat Reader CVE-2020-24435堆缓冲区溢出漏洞


Adobe Acrobat Reader处理PDF文件存在缓冲区溢出漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://helpx.adobe.com/security/products/acrobat/apsb20-67.html


2.谷歌 Android高通封闭源组件远程代码实行漏洞


谷歌 Android高通封闭源组件存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://source.android.com/security/bulletin/2020-11-01


3.Oracle WebLogic Server Oracle Fusion Middleware Console远程代码实行漏洞


Oracle WebLogic Server Oracle Fusion Middleware Console存在安全漏洞,允许远程攻击者利用漏洞提交特殊的HTTP请求,可使系统崩溃或者以应用程序上下文实行任意代码。

https://www.oracle.com/security-alerts/alert-cve-2020-14750.html


4.SaltStack Salt API任意代码实行漏洞


SaltStack Salt API存在输入验证漏洞,允许远程攻击者利用漏洞提交特殊的请求,可未授权访问任意代码。

https://www.auscert.org.au/bulletins/ESB-2020.3863/


5.Apache Shiro CVE-2020-17510授权绕过漏洞


Apache Shiro存在授权绕过漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可未授权访问应用。

https://lists.apache.org/thread.html/rc2cff2538b683d480426393eecf1ce8dd80e052fbef49303b4f47171%40%3Cdev.shiro.apache.org%3E


> 重要安全事件综述


1、HackerOne发布第四届年度HACKER-POWERED安全报告


1.jpg


HackerOne发布第四届年度HACKER-POWERED安全报告,称跨站点脚本(XSS)是最常见的漏洞类型,比2019年增加了134%。报告显示,XSS漏洞占了报告的所有漏洞的18%,总计获得了420万美金的奖金(比去年增加了26%)。此外,不当访问控制漏洞所获得的奖金额度比去年同比增长134%,高达到400万美金,其次是信息披露漏洞,同比增长63%。这两种方式都会泄露潜在的敏感数据,例如个人身份信息。


原文链接:

hackerone.com/hacker-powered-security-report


2、Pulse Secure发布企业推进零信任网络的分析报告


2.jpg


Pulse Secure发布了有关企业推进零信任网络的分析报告。那些推动和规划零信任流程和技术实施方向的组织,将走在数字转型曲线的前面。研究发现,零信任项目往往是跨学科的,汇集了安全和网络团队。他们通常使用三种协作方式,分别是协调不同系统之间的访问安全控制(48%)、评估访问安全控制需求(41%)和根据用户、角色、数据和应用程序定义访问需求(40%)。企业管理协会副总Shamus McGillicuddy表示,企业显然正在加快采取零信任网络的步伐。


原文链接:

https://www.pulsesecure.net/resource/pulse-zero-trust-access-defense-in-depth/


3、谷歌发布安全更新,修复Chrome中已被利用的0day


3.jpg


谷歌发布安全更新,修复Chrome中的10个漏洞,其中包括一个在野外已被积极利用的0day。该0day被追踪为CVE-2020-16009,由谷歌的威胁分析小组(TAG)发现,但该小组并未公开关于该漏洞的详细信息以及利用,仅表示该漏洞位于处理JavaScript代码的Chrome组件V8中。不久后,谷歌又发布了Android版Chrome中的0day的补丁程序,该漏洞被追踪为CVE-2020-16010,为Chrome for Android用户界面(UI)组件中的堆缓冲区溢出漏洞。


原文链接:

https://www.zdnet.com/article/google-patches-second-chrome-zero-day-in-two-weeks/


4、思科披露其AnyConnect客户端中0day,尚无相关补丁


4.jpg


思科披露其AnyConnect客户端App的0day,目前已有公开可用的概念验证利用代码,但尚无针对这个任意代码实行漏洞的安全更新。该漏洞被追踪为CVE-2020-3556,存在于Cisco AnyConnect Client的进程间通信(IPC)通道中,经过身份验证的攻击者和本地攻击者可利用该漏洞实行恶意脚本。该漏洞影响了Windows、Linux和macOS版本的AnyConnect客户端,尽管没有补丁程序,但是可以通过禁用自动更新和停止启用脚本设置来缓解该问题。


原文链接:

https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/


5、Apple发布更新,修复已被积极利用的3个0day


5.jpg


Apple修复了其iOS 14.2中的3个0day,这些漏洞已在野外被积极利用并影响了苹果、iPad和iPod。此次修复的漏洞分别为远程实行代码(RCE)漏洞(CVE-2020-27930 ),FontParser库处理恶意字体时由内存损坏问题导致;内核内存泄漏漏洞(CVE-2020-27950),该漏洞由内存初始化问题引起,允许恶意应用访问内核内存;内核提权漏洞(CVE-2020-27932),由类型混淆导致,可被利用来使用内核权限实行任意代码。


原文链接:

https://www.bleepingcomputer.com/news/security/apple-patches-three-actively-exploited-ios-zero-days/