首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第41周

颁布功夫 2019-10-21

>本周安全态势综述

2019年10月14日至20日共收录安全缝隙53个，值得关注的是ISC BIND QNAME最幼化代码回绝服务缝隙;Samsung Galaxy S10未授权接见缝隙；Kubernetes API Server JSON/YAML解析回绝服务缝隙；Adobe Experience Manager CVE-2019-8088号令注入缝隙；Adobe Acrobat和Reader内存谬误引用肆意代码执行缝隙。

本周值得关注的网络安全事务是航运巨头Pitney Bowes遭勒索软件攻击，多个系统宕机；赛门铁克终端安全产品的更新导致用户设备蓝屏；Android 0day(CVE-2019-2215)的PoC代码已颁布；数百万亚马逊Echo和Kindle设备易受WiFi KRACK攻击；Linux sudo权限绕过缝隙，能够root权限执行号令。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. ISC BIND QNAME最幼化代码回绝服务缝隙
ISC BIND QNAME最幼化代码处置存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可使named退出，造成回绝服务攻击。
https://kb.isc.org/docs/cve-2019-6476

2. Samsung Galaxy S10未授权接见缝隙
Samsung Galaxy S10指纹验证存在安全缝隙，允许攻击者能够利用缝隙提交未录入指纹，可接见手机。
https://www.forbes.com/sites/gordonkelly/2019/10/15/samsung-galaxy-s10-note10-plus-fingerprint-reader-warning-upgrade-galaxy-s11

3. Kubernetes API Server JSON/YAML解析回绝服务缝隙
Kubernetes API Server JSON/YAML解析存在安全缝隙，允许通过授权的远程攻击者利用缝隙提交特殊的恶意要求，可进行回绝服务攻击。
https://github.com/kubernetes/kubernetes/issues/83253

4. Adobe Experience Manager CVE-2019-8088号令注入缝隙
Adobe Experience Manager号令注入缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够利用法式高低文执行肆意号令。
https://helpx.adobe.com/security/products/experience-manager/apsb19-48.html

5. Adobe Acrobat和Reader内存谬误引用肆意代码执行缝隙
Adobe Acrobat和Reader存在开释后使用缝隙，允许远程攻击者利用缝隙提交特殊的PDF文件，诱使用户解析，可使利用法式崩�；蛑葱兴烈獯�。
https://helpx.adobe.com/security/products/acrobat/apsb19-49.html

>沉要安全事务综述

1、航运巨头Pitney Bowes遭勒索软件攻击，多个系统宕机

GA黄金甲·(中国区)官方网站

全球航运巨头Pitney Bowes颁发遭逢勒索软件攻击，导致部门系统中断，从而影响了客户对其某些服务的接见。Pitney Bowes为全球超过150万客户提供服务，蕴含90%的财富500强公司。目前有多个Pitney Bowes服务受到影响，蕴含Pitney Bowes的邮件系统产品�？突薹ㄔ谄溆始低成喜钩溆首驶蛏洗蚵�，也无法接见英国和加拿大的SendPro Online产品及Your Account和Pitney Bowes Supplies网上商店，这反过来又影响了订阅AutoInk和Supplies App的客户。该公司在申明中暗示，目前没有证据批注客户或员工的数据被不当接见，该公司在与第三方合作进行调查与解决问题。

原文链接：
https://www.bleepingcomputer.com/news/security/global-shipping-firm-pitney-bowes-affected-by-ransomware-attack/

2、赛门铁克终端安全产品的更新导致用户设备蓝屏

GA黄金甲·(中国区)官方网站

赛门铁克为其Endpoint Protection产品推出的入侵检测署名更新导致用户设备出现崩溃并显示蓝屏（BSOD）。该问题影响了Win 7、Win8及Win 10，凭据赛门铁克的表述，在运行LiveUpdate时Endpoint Protection Client会显示殒命蓝屏，并显示IDSvix86.sys/IDSvia64.sys出现问题，导致BAD_POOL_CALLER (c2)或KERNEL_MODE_HEAP_CORRUPTION (13A)异常。该公司还补充称受影响的入侵检测的署名版本为2019/10/14 r61，该问题已在新版本2019/10/14 r62中解决。

原文链接：
https://www.bleepingcomputer.com/news/security/symantec-fixes-bad-ips-definitions-that-cause-a-windows-bsod/

3、Android 0day(CVE-2019-2215)的PoC代码已颁布

GA黄金甲·(中国区)官方网站

本月初谷歌安全钻研员Maddie Stone披露了一个Android零日缝隙（CVE-2019-2215），其时谷歌暗示该零日缝隙在野表被积极利用。近日佛罗里达大学Grant Hernandez在博客中颁布了一个新的PoC工具Qu1ckR00t，攻击者可利用该工具获得root权限并齐全节造设备。该工具没有作为打包的APK文件颁布，而是以源代码的大局在GitHub上颁布。Hernandez暗示他只在Pixel 2手机上测试过Qu1ckR00t，并忠告没有经验的用户不要测试该代码，不然会有系统变砖和数据迷失的风险。Google已在2019年10月的Android安全布告（安全补丁法式级别2019-10-06）中建补了CVE-2019-2215 。为了预防出现问题，建议用户装置必要的补丁法式。

原文链接：

https://www.zdnet.com/article/security-researcher-publishes-proof-of-concept-code-for-recent-android-zero-day/

4、数百万亚马逊Echo和Kindle设备易受WiFi KRACK攻击

GA黄金甲·(中国区)官方网站

凭据ESET的一份汇报，钻研人员发现Amazon Echo 1st和Amazon Kindle 8th设备依然受到WiFi KRACK缝隙的影响，这可能影响数百万设备。KRACK缝隙是WPA2和谈4次握手中的缝隙（CVE-2017-13077和CVE-2017-13078），该缝隙于2017年10月被公开。凭据ESET的表述，这些缝隙可能允许攻击者执行DoS攻击、粉碎网络通讯或沉播攻击，拦截和解密用户传输的密码或会话等敏感信息，伪造数据包甚至注入新数据包等。ESET于2018年10月23日通知了亚马逊，亚马逊在2019年1月已向受影响的设备推送了有关建复补丁。

原文链接：

https://www.bleepingcomputer.com/news/security/millions-of-amazon-echo-and-kindle-devices-affected-by-wifi-bug/

5、Linux sudo权限绕过缝隙，能够root权限执行号令

GA黄金甲·(中国区)官方网站

Linux sudo曝出提权缝隙，可绕过Runas用户限度以root权限执行号令。该缝隙（CVE-2019-14287）由苹果信息安全数门的Joe Vennix发现，若是将sudo配置为允许用户以肆意用户身份运行号令，则能够通过指定用户ID为-1或4294967295的方式以root身份运行号令。这是由于将用户ID转换为用户名的函数，会将-1（或等效的4294967295）误以为0，而这正好是root用户的User ID。此表，由于通过-u选项指定的User ID在密码数据库中不存在，因而不会运行任何PAM会话�？�。该缝隙影响版本1.8.28之前的所有Sudo版本。

原文链接：
https://www.sudo.ws/alerts/minus_1_uid.html

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第41周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线