首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第45周

颁布功夫 2019-11-18

>本周安全态势综述

2019年11月11日至17日共收录安全缝隙48个，值得关注的是Microsoft Windows OpenType字体解析CVE-2019-1456远程执行代码缝隙; eQ-3 Homematic CCU3 testtcl.cgi代码执行缝隙；SAP Diagnostics Agent肆意OS号令注入缝隙；Istio回绝服务缝隙；Adobe Illustrator CVE-2019-8248内存粉碎肆意代码执行缝隙。

本周值得关注的网络安全事务是托管服务商SmarterASP.NET遭勒索软件攻击；俄罗斯新法案强造手机和PC预装置本国软件；5G新缝隙可跟踪电话地位及广播虚伪警报；McAfee杀毒软件代码执行缝隙(CVE-2019-3648)；高通芯片组QSEE缝隙可致Android设备数据泄露。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Microsoft Windows OpenType字体解析CVE-2019-1456远程执行代码缝隙
Microsoft Windows OpenType字体解析处置Opentype字体存在安全缝隙，允许远程攻击者能够利用缝隙提交特殊的文件要求，可使利用法式崩�；蛑葱兴烈獯�。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1456

2. eQ-3 Homematic CCU3 testtcl.cgi代码执行缝隙
eQ-3 Homematic CCU3 save.cgi剧本可用来上传剧本并被testtcl.cgi剧本执行，允许远程攻击者能够利用缝隙提交特殊的要求，可执行肆意代码。
https://psytester.github.io/CVE-2019-18938/

3. SAP Diagnostics Agent肆意OS号令注入缝隙
SAP Diagnostic Agent存在未明安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可执行肆意OS号令。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=528880390

4. Istio回绝服务缝隙
Istio存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可使利用法式崩溃。
https://github.com/istio/istio/issues/18229

5. Adobe Illustrator CVE-2019-8248内存粉碎肆意代码执行缝隙
Adobe Illustrator处置文件存在内存粉碎缝隙，允许远程攻击者利用缝隙提交特殊的文件要求，可执行肆意代码或者进行回绝服务攻击。
https://helpx.adobe.com/security/products/illustrator/apsb19-36.html

>沉要安全事务综述

1、托管服务商SmarterASP.NET遭勒索软件攻击

GA黄金甲·(中国区)官方网站

SmarterASP.NET是一家占有超过44万个客户的ASP.NET托管服务商，该公司在周末遭到勒索软件攻击。当前SmarterASP.NET暗示在致力复原客户的服务器，但不明显该公司是支付了赎金还是在从备份中复原。这次攻击中不仅客户数据受到影响，并且SmarterASP.NET自身亦受影响。该公司的网站在星期六全天都下线，直到星期天早上才沉新上线。服务器复原工作进展缓慢，很多客户依然无法接见其账户和数据，蕴含网站文件和后端数据库。凭据在Twitter上颁布的截图，被加密的客户文件后附加了“.kjhbx”扩大名，目前钻研人员仍在试图确认勒索软件的种类。

原文链接：
https://www.zdnet.com/article/major-asp-net-hosting-provider-infected-by-ransomware/

2、俄罗斯新法案强造手机和PC预装置本国软件

GA黄金甲·(中国区)官方网站

俄罗斯议会在推动一项立法，该法案将强造要求所有在俄罗斯销售的电子设备（蕴含智能手机、PC和智能电视等）预装置本国科技公司的利用。这可能会带来安全隐患。立法者暗示该法案是为了�；け镜氐募际跏谐∶馐鼙砉ǹ赡苁侵该拦┑木赫�。当局将针对每种设备类型颁布一份软件列表，设备供给商必要在俄罗斯销售的设备上预装置这些软件。若是供给商不遵守划定，将被处以最高20万卢布（约合3100美元）的�？�。该法案得到了所有重要政党的支持，这意味着它很有可能将在2020年7月1日生效。

原文链接：
https://www.zdnet.com/article/phones-and-pcs-sold-in-russia-will-have-to-come-pre-installed-with-russian-apps/

3、5G新缝隙可跟踪电话地位及广播虚伪警报

GA黄金甲·(中国区)官方网站

普渡大学（Purdue University）和爱荷华大学（University of Iowa）的安全钻研人员发现将近12个5G安全缝隙，钻研人员暗示这些缝隙可允许攻击者获取指标用户电话的新/旧一时网络标识符，从而跟踪电话的地位，甚至劫持寻呼信路进行虚伪的垂危警报广播。在某些情况下，这些缝隙可能被用来将蜂窝衔接降级为不太安全的尺度。一些新的攻击也可能在现有的4G网络上被利用。鉴于缝隙的性质，钻研人员暗示他们不筹算公开其PoC代码，但他们将这些发现通知了全球蜂窝网络GSM协会（GSMA）。GSMA没有泄漏是否能够建复缝隙，也没有泄漏建复功夫。

原文链接：

https://finance.yahoo.com/news/5g-flaws-track-phone-locations-163014364.html

4、McAfee杀毒软件代码执行缝隙(CVE-2019-3648)

GA黄金甲·(中国区)官方网站

SafeBreach Labs发现McAfee防病毒软件受代码执行缝隙（CVE-2019-3648）的影响，攻击者可绕过McAfee的自卫机造，可能导致对受习染系统的进一步攻击。该缝隙是由于未验证加载DLL的署名导致的，攻击者可将肆意未署名的DLL加载到以NT AUTHORITY\SYSTEM权限运行的多个服务中。该攻击还能够绕过利用法式白名单�；げ⒃し辣话踩砑觳獾�。

原文链接：

https://www.zdnet.com/article/mcafee-antivirus-software-impacted-by-code-execution-vulnerability/

5、高通芯片组QSEE缝隙可致Android设备数据泄露

GA黄金甲·(中国区)官方网站

凭据安全厂商CheckPoint的一份汇报，高通芯片组中的安全执行环境（QSEE）中存在缝隙（CVE-2019-10574），可导致Android设备中的幼我数据泄露。QSEE是基于ARM TrustZone技术的受信赖执行环境（TEE）的实现，是主处置器上的一个硬件隔离的安全区域，其中通常蕴含专用加密密钥、密码、信誉卡和借记卡痛处等敏感信息。Check Point钻研人员逆向了该系统，并利用吞吐测试对三星、LG和摩托罗拉设备进行了测试。总体而言，钻研人员发现三星的受信赖代码蕴含四个缝隙，摩托罗拉和LG别离蕴含一个缝隙，但所有代码均来自高通公司。三星、高通和LG已针对这些QSEE缝隙颁布了补丁更新。

原文链接：
https://thehackernews.com/2019/11/qualcomm-android-hacking.html

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2019年第45周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线