首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2020年第17周

颁布功夫 2020-04-28

> 本周安全态势综述

2020年04月20日至26日共收录安全缝隙54个，值得关注的是Apple macOS Mail Javascript代码执行缝隙; Google Chrome payments内存谬误引用代码执行缝隙；Sonatype Nexus Repository Manager权限提升缝隙；灵通OA肆意用户登录缝隙；Contiki-NG越界写代码执行缝隙。

本周值得关注的网络安全事务是加拿大儿童游戏网站Webkinz近2300万用户数据泄露；FPGA芯片Starbleed缝隙，影响赛灵思多个产品；CNCERT颁布《2019年我国互联网网络安全态势综述》汇报；钻研人员披露IBM企业安全软件中的4个0day；微软颁布垂危更新，建复Office和Paint 3D中多个缝隙。

凭据以上综述，本周安全威胁为中。

>沉要安全缝隙列表

1. Apple macOS Mail Javascript代码执行缝隙

Apple macOS Mail存在代码注入缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够利用法式高低文执行肆意JavaScript代码。。

https://support.apple.com/en-us/HT211100

2. Google Chrome payments内存谬误引用代码执行缝隙

Google Chrome payments存在开释后使用缝隙，允许远程攻击者利用缝隙提交特殊的WEB要求，诱使用户解析，可进行回绝服务攻击或以利用法式高低文执行肆意码。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html

3. Sonatype Nexus Repository Manager权限提升缝隙

Sonatype Nexus Repository Manager实现存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，可提升特权，进行创建，批改，执行工作。

https://support.sonatype.com/hc/en-us/articles/360046233714

4. 灵通OA肆意用户登录缝隙

灵通OA登录实现存在安全缝隙，允许远程攻击者利用缝隙提交特殊的要求，能够肆意用户高低文登录。

https://cert.360.cn/warning/detail?id=d2689a877c01a9712d148317c2da21a2

5. Contiki-NG越界写代码执行缝隙

Contiki-NG os/net/ipv6/sicslowpan.c在处置6LoWPAN吩飕沉组存在越界写缝隙，允许远程攻击者利用缝隙提交特殊的要求，可使利用法式崩�；蛑葱兴烈獯�。

https://github.com/contiki-ng/contiki-ng/pull/972

> 沉要安全事务综述

1、加拿大儿童游戏网站Webkinz近2300万用户数据泄露

GA黄金甲·(中国区)官方网站

加拿大驰名玩具公司Ganz旗下的儿童游戏网站Webkinz遭到黑客入侵，近2300万玩家的用户名和密码泄露，其中泄露的密码使用了MD5-Crypt算法加密。据ZDNet报路，黑客是利用网站中的SQL注入缝隙入侵游戏数据库的，据称该缝隙的细节已在黑客论坛中传布了几个月。黑客可能还盗取了哈希加密的电子邮件地址。新闻人士称Webkinz员工已经建复了黑客使用的缝隙，但Ganz尚未对此事务进行回应。

原文链接：

https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/

2、FPGA芯片Starbleed缝隙，影响赛灵思多个产品

GA黄金甲·(中国区)官方网站

钻研人员发现FPGA芯片存在Starbleed缝隙，影响了赛灵思7系列的Spartan、Artix、Kintex、Virtex子系列多个产品。由于缝隙为硬件级别缝隙，因而只能通过更换芯片来建复缝隙。安全钻研人员发现能够通过解密被加密的比特流来接见和批改用于编程的文件。因而，黑客能够利用该缝隙齐全节造FPGA芯片，并且可能盗取比特流中的知识产权。德国Max Planck钻研所的Christof Paar教授暗示，攻击者甚至能够进行远程攻击，或是向FPGA芯片植入硬件木马。

原文链接：

https://www.helpnetsecurity.com/2020/04/20/starbleed-vulnerability/

3、CNCERT颁布《2019年我国互联网网络安全态势综述》汇报

GA黄金甲·(中国区)官方网站

国度互联网应急中心（CNCERT）于2020年4月20日颁布了《2019年我国互联网网络安全态势综述》汇报。该汇报安身于CNCERT网络安全宏观监测数据与工作实际汇报，涉及2019年典型网络安全事务、网络安全新趋向及日常网络安全事务应急措置实际等内容。汇报重要蕴含四个部门，一是总结2019年我国互联网网络安全情况，二是预测2020年网络安全热点，三是结合网络安全态势分析提出对策建议，四是梳理网络安全监测数据。该汇报对我国党政机关、行业企业及全社会相识我国网络安全局势，提高网络安全意识，做好网络安全工作提供了有力参考。

原文链接：

http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm

4、钻研人员披露IBM企业安全软件中的4个0day

GA黄金甲·(中国区)官方网站

安全钻研人员在分析IBM Data Risk Manager（IDRM）时发现了4个0day，别离为身份验证绕过缝隙、号令注入缝隙、不安全的默认密码缝隙以及肆意文件下载缝隙。这些缝隙能够单独使用也能够组合使用，组合使用前三个缝隙能够使攻击者以root权限远程执行代码，组合使用第一个和第四个缝隙能够使未授权的攻击者下载肆意文件。缝隙的披露者Ribeiro暗示，IDRM是处置敏感信息的企业安全产品，若是其遭到攻击会导致公司利益严沉受损，因而在IBM回绝接受缝隙汇报后选择将其颁布出来。目前，IBM公司建复了IDRM2.0.1及更高版本中的肆意文件下载缝隙和号令注入缝隙，并且在调查身份验证绕过缝隙。

原文链接：

https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/

5、微软颁布垂危更新，建复Office和Paint 3D中多个缝隙

GA黄金甲·(中国区)官方网站

Microsoft颁布了垂危安全更新，以建复使用了Autodesk FBX库的Microsoft产品，蕴含多个版本的Microsoft Office和Windows 10利用法式Paint 3D。本次建复的缝隙为FBX库中的远程执行代码缝隙，攻击者利用此缝隙能够获得与本地用户一样的权限，Autodesk在4月15日推出了针对此缝隙的补丁法式。Microsoft暗示，黑客必须诱使用户打开其特造的3D文件能力够成功利用此缝隙，因而，在安全更新之前用户必要远离那些可疑文件以保障安全。

原文链接：

https://news.softpedia.com/news/microsoft-releases-emergency-update-for-windows-10-app-microsoft-office-529800.shtml

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全团队

售后服务

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

信息安全周报-2020年第17周

关于GA黄金甲

解决规划

联系GA黄金甲

7*24幼时服务热线