信息清静周报-2020年第37周-南宫NG娱乐

首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2020年第37周

宣布时间 2020-09-14

> 本周清静态势综述

2020年09月07日至09月13日共收录清静误差57个，，值得关注的是SAP Solution Manager验证检查缺失误差；；；；Tenda AC18 Router代码执行误差；；；；Android mediaframework CVE-2020-0245代码执行误差；；；；Microsoft ChakraCore CVE-2020-1172内存破损代码执行误差；；；；Project Worlds Car Rental Management System恣意文件上传误差。。。。

本周值得关注的网络清静事务是WhatsApp披露其应用中的6个误差，，现已修复；；；；启用Hyper-V的Win10系统中保存0day，，可建设文件；；；；微软宣布9月份清静更新，，总计修复129个误差；；；；Adobe宣布清静更新，，修复多款产品中的12个误差；；；；CodeMeter中保存严重误差，，可导致OT供应链攻击。。。。

凭证以上综述，，本周清静威胁为中。。。。

> 主要清静误差列表

1.SAP Solution Manager验证检查缺失误差

SAP Solution Manager保存验证检查缺失误差，，允许远程攻击者使用误差提交特殊的请求，，未授权控制会见应用。。。。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700

2. Tenda AC18 Router代码执行误差

Tenda AC18 Router /usr/lib/lua/lua/ngx_authserver/ngx_wdas中的logincheck（）函数的身份验证处置惩罚保存误差，，允许远程攻击者使用误差提交特殊的请求，，未授权执行恣意代码。。。。

https://www.tendacn.com/en/product/AC18.html

3.Android mediaframework CVE-2020-0245代码执行误差

Android mediaframework保存清静误差，，允许远程攻击者使用误差提交特殊的文件请求，，诱使用户剖析，，可使应用程序瓦解唬�；；蛘咭韵低成舷挛闹葱许б獯�。。。。

https://source.android.com/security/bulletin/2020-09-01

4. Microsoft ChakraCore CVE-2020-1172内存破损代码执行误差

Microsoft ChakraCore保存内存破损误差，，允许远程攻击者使用误差提交特殊的WEB请求，，诱使用户剖析，，可使应用程序瓦解唬�；；蛘咭杂τ贸绦蛏舷挛闹葱许б獯�。。。。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1172

5. Project Worlds Car Rental Management System恣意文件上传误差

Project Worlds Car Rental Management System车图像上传组件保存清静误差，，允许远程攻击者使用误差提交特殊的请求，，可上传恣意文件，，并执行恣意代码。。。。

https://github.com/hyd3sec/CarRentalManagement-Unauth-RCE-WebApp

> 主要清静事务综述

1、WhatsApp披露其应用中的6个误差，，现已修复

WhatsApp披露其应用中保存的6个误差，，现已修复。。。。此次修复的误差中较为严重的为客栈写入溢出误差（CVE-2020-1894），，可导致恣意代码执行，，32位装备保存的写溢出误差（CVE-2020-1891）和URL验证问题（CVE-2020-1890），，可导致黑客在没有与用户交互的情形下从发件人的URL加载图像。。。。其他误差为清静检测绕过问题（CVE-2020-1889的）、缓冲区溢出误差（CVE-2020-1886）和输入验证问题（CVE-2019-11928）。。。。

原文链接：

https://securityaffairs.co/wordpress/107950/security/whatsapp-undisclosed-flaws.html

2、启用Hyper-V的Win10系统中保存0day，，可建设文件

逆向工程师Jonas Lykkegaard在启用了Hyper-V的Windows 10系统中发明了一个新的0day，，该误差可被使用在受影响的操作系统中建设文件。。。。在Hyper-V处于活动状态时，，攻击者可使用该误差在\ system32中建设文件，，并且不需要举行提权。。。。由于文件的建设者也是所有者，，因此攻击者可以使用该文件将恶意代码注入系统内部，，并在需要时使用提升的权限执行该恶意代码。。。。CERT/CC误差剖析师Will Dormann 体现，，攻击者险些不需要做任何起劲便可以使用该误差。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulnerability/

3、微软宣布9月份清静更新，，总计修复129个误差

微软宣布了9月份清静更新，，总计修复129个误差，，其中包括23个严重误差。。。。只管此次更新中并没有0day，，但仍有许多误差可被远程使用。。。。此次修复的就为严重的三个误差划分为Microsoft Exchange内存损坏误差（CVE-2020-16875），，远程攻击者使用该误差可以仅通过向Exchange效劳器发送特制电子邮件远程执行代码，，Windows远程执行代码的Microsoft COM误差（CVE-2020-0922），，可以通过诱使用户会见带有恶意JavaScript的站点来加以使用，，以及Windows文本效劳�？？？樵冻讨葱写胛蟛睿–VE-2020-0908），，可以通过诱使用户会见包括恶意广告的网站来加以使用。。。。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2020-patch-tuesday-fixes-129-vulnerabilities/

4、Adobe宣布清静更新，，修复多款产品中的12个误差

Adobe宣布清静更新，，已修复影响其Adobe InDesign、Adobe Framemaker和Adobe Experience Manager产品中的12个代码执行误差。。。。此次更新修复了Adobe InDesign中因内存损坏导致的恣意代码执行误差（CVE-2020-9727、CVE-2020-9728、CVE-2020-9729、CVE-2020-9730和CVE-2020-9731），，Framemaker中越界读取导致的代码执行误差（CVE-2020-9726）和基于客栈的缓冲区溢出的代码执行误差（CVE-2020-9725 ），，以及Experience Manager中的多个XSS误差。。。。

原文链接：

https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-vulnerabilities-in-indesign-and-framemaker/

5、CodeMeter中保存严重误差，，可导致OT供应链攻击

Claroty发明西门子等顶级ICS供应商使用的第三方工业组件CodeMeter中保存6个严重的误差，，或将导致OT供应链攻击，，这些误差的CVSS评分均为10.0。。。。CISA体现，，攻击者乐成使用这些误差后可更改和伪造允许证文件，，导致拒绝效劳情形，，潜在地实现远程执行代码、读取堆数据并阻止依赖CodeMeter的第三方软件的正常运行。。。。其中最严重的误差可通过破损CodeMeter通讯协媾和内部AP以I远程执行代码，，实现ICS系统的完全接受。。。。

原文链接：

https://www.infosecurity-magazine.com/news/critical-bugs-enable-ot-supply/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究