8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第38周

颁布功夫 2019-09-30

本周安全态势综述

2019年9月23日至29日共收录安全缝隙43个，，，，，，，，值得关注的是RIOT MQTT-SN CVE-2019-16754空指针间接引用缝隙; vBulletin widgetConfig[code]远程代码执行缝隙；；；；；Adobe ColdFusion肆意代码执行缝隙；；；；；Microsoft Internet Explorer内存对象处置远程代码执行缝隙；；；；；phpstudy后门植入缝隙。。。。。。。。

本周值得关注的网络安全事务是Tesco停车利用存在缝隙导致数千万车牌图像泄露；；；；；微软垂危建复IE中的RCE 0day及Defender中的DoS缝隙；；；；；据统计2019年美国已有多达500所学堂遭勒索软件攻击；；；；；iOS 13和iPadOS缝隙可导致第三方键盘获取齐全接见权限；；；；；iOS缝隙Checkm8可导致iPhone4到X永远越狱。。。。。。。。

凭据以上综述，，，，，，，，本周安全威胁为中。。。。。。。。

沉要安全缝隙列表

1. RIOT MQTT-SN CVE-2019-16754空指针间接引用缝隙
RIOT MQTT-SN实现存在空指针引用缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，可使系统崩溃。。。。。。。。
https://github.com/RIOT-OS/RIOT/pull/12293

2. vBulletin widgetConfig[code]远程代码执行缝隙
vBulletin ajax/render/widget_php routestring处置widgetConfig[code]存在安全缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，能够利用法式高低文执行肆意号令。。。。。。。。
https://seclists.org/fulldisclosure/2019/Sep/31

3. Adobe ColdFusion肆意代码执行缝隙
Adobe ColdFusion某组件存在安全缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，可注入肆意号令并执行。。。。。。。。
https://helpx.adobe.com/security/products/coldfusion/apsb19-47.html

4. Microsoft Internet Explorer内存对象处置远程代码执行缝隙
Microsoft Internet Explorer处置内存对象存在安全缝隙，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的WEB要求，，，，，，，，诱使用户解析，，，，，，，，可使利用法式崩�；；；；；蛑葱兴烈獯�。。。。。。。。
https://support.microsoft.com/zh-cn/help/4522007/cumulative-security-update-for-internet-explorer

5. phpstudy后门植入缝隙
phpstudy被注入后门，，，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，，，节造指标利用系统。。。。。。。。
https://www.xp.cn/

沉要安全事务综述

1、Tesco停车利用存在缝隙导致数千万车牌图像泄露

8827太阳集团(Macau)股份有限公司-Official website

在表媒The Register报路数千万张ANPR（车牌自动鉴别）图像在Microsoft Azure中露出之后，，，，，，，，Tesco已关关其停车验证Web利用。。。。。。。。这些图像由英国各地的19个Tesco停车场所拍摄的进入和脱离的汽车照片组成，，，，，，，，照片中凸起显示了汽车的车牌，，，，，，，，固然由于分辨率较低而看不到驾驶员。。。。。。。。ANPR图像以带有功夫戳的jpeg体式保留在Azure blob中，，，，，，，，并且图像文件名也蕴含功夫信息，，，，，，，，从而使得任何正确揣度出所需HTTP POST要求体式的人能够批量获取这些图像以供犯法使用。。。。。。。。

原文链接：
https://www.theregister.co.uk/2019/09/20/tesco_parking_app_10s_millions_anpr_photos_exposed/

2、微软垂危建复IE中的RCE 0day及Defender中的DoS缝隙

8827太阳集团(Macau)股份有限公司-Official website

微软颁布垂危安全更新，，，，，，，，建复IE中的RCE 0day及Windows Defender中的DoS缝隙。。。。。。。。其中IE 0day为谷歌钻研人员ClémentLecigne发现的剧本引擎内存败坏缝隙（CVE-2019-1367），，，，，，，，攻击者可利用该缝隙在当前用户的高低文中执行肆意代码。。。。。。。。该缝隙能够通过将指标用户沉定向至恶意网站来利用，，，，，，，，受影响的版本蕴含IE9、10和11。。。。。。。。另一个缝隙是Windows Defender中的回绝服务缝隙（CVE-2019-1255），，，，，，，，该缝隙与Defender处置文件的方式有关，，，，，，，，攻击者可利用该缝隙阻止合法账户执行合法的系统文件。。。。。。。。受影响的Defender版本为1.1.16300.1，，，，，，，，并已在1.1.16400.2中建复。。。。。。。。

原文链接：
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

3、据统计2019年美国已有多达500所学堂遭勒索软件攻击

8827太阳集团(Macau)股份有限公司-Official website

凭据云安全公司Armor的调研，，，，，，，，美国已有49个学区的教育机构遭到勒索软件攻击，，，，，，，，使得教育行业成为仅次于处所当局的第二大易受攻击指标。。。。。。。。该公司分析了自2019年1月以来公开报路的攻击，，，，，，，，发此刻2019年前9个月已有多达500所K-12学堂遭到攻击，，，，，，，，而去年只有11所学堂。。。。。。。。仅在9月中旬的一周多功夫里就有9个新学区和1所大学受到攻击，，，，，，，，波及约100所K-12学堂。。。。。。。�？？？？？？？？的腋裰莸难艿降耐沧钗铣�，，，，，，，，该州共遭逢了7次攻击，，，，，，，，涵盖104所学堂。。。。。。。。

原文链接：

https://www.infosecurity-magazine.com/news/hundreds-of-us-schools-hit-by/

4、iOS 13和iPadOS缝隙可导致第三方键盘获取齐全接见权限

8827太阳集团(Macau)股份有限公司-Official website

苹果官方颁布了一份新的支持文档，，，，，，，，忠告用户有关iOS 13和iPadOS第三方键盘存在的安全缝隙。。。。。。。。该公司暗示，，，，，，，，一些第三方键盘软件即便未被核准齐全接见权限也可能会由于iOS 13和iPadOS中的缝隙而被授予齐全接见权限。。。。。。。。这一问题影响了iPhone、iPad或iPod touch装置的键盘，，，，，，，，但不影响苹果的内置键盘，，，，，，，，也不会影响未利用齐全接见权限的第三方键盘，，，，，，，，苹果将在即将到来的软件更新中建复此缝隙。。。。。。。。

原文链接：

https://threatpost.com/bug-granting-full-access-keyboards/148638/

5、iOS缝隙Checkm8可导致iPhone4到X永远越狱

8827太阳集团(Macau)股份有限公司-Official website

安全钻研员axi0mX披露iOS中的安全缝隙checkm8，，，，，，，，该缝隙能够使iPhone4S（A5芯片）到iPhone8、iPhoneX（A11芯片）的所有苹果手机及同款A系列处置器的iPad、iPod touch等iOS设备永远越狱。。。。。。。。没有提到最新的A12和A13是否受到影响。。。。。。。。该攻击利用了bootrom缝隙，，，，，，，，即存储了iPhone启动指令的只读存储器（ROM）缝隙，，，，，，，，由于该部门内存是只读的，，，，，，，，因而无法通过安全更新来建复缝隙。。。。。。。。钻研人员在Github上颁布了有关缝隙利用，，，，，，，，但尚无公开可用的越狱法式。。。。。。。。

原文链接：
https://threatpost.com/ios-exploit-checkm8-could-allow-permanent-iphone-jailbreaks/148762/

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】