东森平台

首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第43周

宣布时间 2020-10-26

> 本周宁静态势综述

2020年10月19日至10月25日共收录宁静漏洞82个，值得关注的是Adobe Illustrator内存破坏CVE-2020-24412代码执行漏洞；Mozilla Firefox usersctp内存错误引用代码执行漏洞；Oracle Solaris CVE-2020-14871未明远程代码执行漏洞；HPE Intelligent Management Center UrlAccessController验证绕过漏洞；VMware ESXi OpenSLP内存错误引用代码执行漏洞。

本周值得关注的网络宁静事件是Hiscox宣布2020年度Cyber Readiness分析陈诉；Discord修复其桌面应用中可导致远程代码执行的漏洞；Google宣布Chrome宁静更新，修复已被利用的0day；Rapid7披露10个针对七款浏览器应用的地址栏欺骗漏洞；Sophos发现LockBit可使用自动攻击工具来识别可疑目标。

凭据以上综述，本周宁静威胁为中。

> 重要宁静漏洞列表

1.Adobe Illustrator内存破坏CVE-2020-24412代码执行漏洞

Adobe Illustrator存在内存破坏漏洞，允许远程攻击者可以利用漏洞提交特殊的文件请求，诱使用户解析，可使应用法式崩�；蚩梢杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://helpx.adobe.com/security/products/illustrator/apsb20-53.html

2.Mozilla Firefox usersctp内存错误引用代码执行漏洞

Mozilla Firefox usersctp库存在释放后使用漏洞，允许远程攻击者利用漏洞提交特殊的WEB请求，诱使用户解析，可使应用法式崩�；蚩梢杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://www.mozilla.org/en-US/security/advisories/mfsa2020-45/

3.Oracle Solaris CVE-2020-14871未明远程代码执行漏洞

Oracle Solaris协议处置存在未明宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以系统上下文执行任意代码。

https://www.oracle.com/security-alerts/cpuoct2020.html

4.HPE Intelligent Management Center UrlAccessController验证绕过漏洞

HPE Intelligent Management Center UrlAccessController存在验证绕过漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbnw04036en_us

5.VMware ESXi OpenSLP内存错误引用代码执行漏洞

VMware ESXi OpenSLP服务存在释放后使用漏洞，允许远程攻击者可以利用漏洞提交特殊的请求，可以应用法式上下文执行任意代码。

https://www.vmware.com/security/advisories/VMSA-2020-0023.html

> 重要宁静事件综述

1、Hiscox宣布2020年度Cyber Readiness分析陈诉

Hiscox宣布2020年度Cyber Readiness分析陈诉，发现过去一年中全球网络损失增长了近六倍。该陈诉显示，受影响公司的总损失为18亿美元，比去年的12亿美元增长了50％。陈诉中有6％以上的受访者支付了赎金，损失总计为3.81亿美元。据统计，恶意软件、勒索软件、企业电子邮件泄露和漫衍式拒绝服务（DDoS）仍然是最常用的攻击媒介，而DDoS攻击也成了勒索软件攻击的另一种形式。

原文链接：

https://www.hiscox.co.uk/sites/uk/files/documents/202006/Hiscox_Cyber_Readiness_Report_2020_UK.PDF

2、Discord修复其桌面应用中可导致远程代码执行的漏洞

Discord已修复桌面版应用法式中的一个要害漏洞，可导致远程代码执行（RCE）攻击。该漏洞存在于Discon桌面应用法式使用的软件框架Electron中，其contextIsolation被设置为false，这允许应用法式外部的JavaScript代码影响内部代码，例如web页面外部的JavaScript代码使用node.js功效。该漏洞被追踪为CVE-2020-15174，与其他两个漏洞结合利用可绕过导航限制并使用iframe XSS漏洞访问包罗恶意代码的网页来执行RCE攻击。

原文链接：

https://www.zdnet.com/article/discord-desktop-app-vulnerable-to-remote-code-execution-bug/

3、Google宣布Chrome宁静更新，修复已被利用的0day

Google宣布了Chrome版本86.0.4240.111的宁静更新，修复已被在野利用的0day。该漏洞被追踪为CVE-2020-15999，是FreeType字体渲染库中的内存损坏漏洞。谷歌Project Zero的研究人员发现了利用此FreeType漏洞进行的野外攻击，但是有关该漏洞的利用活动的详细信息尚未果然。这是在过去一年来的第三个被在野利用的Chrome 0day，前两个是CVE-2019-13720（2019年10月）和CVE-2020-6418（2020年2月）。

原文链接：

https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/

4、Rapid7披露10个针对七款浏览器应用的地址栏欺骗漏洞

网络宁静公司Rapid7披露了10个针对七款浏览器应用的地址栏欺骗漏洞。此次披露的漏洞分别为UC浏览器中的CVE-2020-7363和CVE-2020-7364、Opera Mini和Opera Touch中的CVE TBD-Opera、Yandex浏览器中的CVE-2020-7369、Bolt浏览器中的CVE-2020-7370、RITS浏览器中的CVE-2020-7371和Apple Safari中的CVE-2020-9987。该问题于今年年初被发现，并于8月陈诉给制造商，目前大型厂商立即进行了修复，而小型厂商仍无人理会。

原文链接：

https://www.zdnet.com/article/seven-mobile-browsers-vulnerable-to-address-bar-spoofing-attacks/

5、Sophos发现LockBit可使用自动攻击工具来识别可疑目标

Sophos宣布陈诉，称LockBit可使用自动攻击工具来识别可疑目标。研究人员通过分析一年前泛起的样本，发现LockBit已经迅速成熟，并接纳了一些新的要领来绕过Windows用户帐户控制（UAC）来提升特权。此外，LockBit可使用PowerShell和Windows的VBscript主机的重命名副本以及基于PowerShell渗透测试工具的脚本，来搜索包罗有价值数据的系统，以攻击小型组织。

原文链接：

https://news.sophos.com/en-us/2020/10/21/lockbit-attackers-uses-automated-attack-tools-to-identify-tasty-targets/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号