首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第17周

宣布时间 2020-04-28

> 本周宁静态势综述

2020年04月20日至26日共收录宁静漏洞54个，值得关注的是Apple macOS Mail Javascript代码执行漏洞; Google Chrome payments内存错误引用代码执行漏洞；Sonatype Nexus Repository Manager权限提升漏洞；通达OA任意用户登录漏洞；Contiki-NG越界写代码执行漏洞。

本周值得关注的网络宁静事件是加拿大儿童游戏网站Webkinz近2300万用户数据泄露；FPGA芯片Starbleed漏洞，影响赛灵思多个产物；CNCERT宣布《2019年我国互联网网络宁静态势综述》陈诉；研究人员披露IBM企业宁静软件中的4个0day；微软宣布紧急更新，修复Office和Paint 3D中多个漏洞。

凭据以上综述，本周宁静威胁为中。

>重要宁静漏洞列表

1. Apple macOS Mail Javascript代码执行漏洞

Apple macOS Mail存在代码注入漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以应用法式上下文执行任意JavaScript代码。。

https://support.apple.com/en-us/HT211100

2. Google Chrome payments内存错误引用代码执行漏洞

Google Chrome payments存在释放后使用漏洞，允许远程攻击者利用漏洞提交特殊的WEB请求，诱使用户解析，可进行拒绝服务攻击或以应用法式上下文执行任意码。

https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html

3. Sonatype Nexus Repository Manager权限提升漏洞

Sonatype Nexus Repository Manager实现存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可提升特权，进行创建，修改，执行任务。

https://support.sonatype.com/hc/en-us/articles/360046233714

4. 通达OA任意用户登录漏洞

通达OA登录实现存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以任意用户上下文登录。

https://cert.360.cn/warning/detail?id=d2689a877c01a9712d148317c2da21a2

5. Contiki-NG越界写代码执行漏洞

Contiki-NG os/net/ipv6/sicslowpan.c在处置6LoWPAN分片重组存在越界写漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使应用法式崩�；蛑葱腥我獯�。

https://github.com/contiki-ng/contiki-ng/pull/972

> 重要宁静事件综述

1、加拿大儿童游戏网站Webkinz近2300万用户数据泄露

尊龙抖圈 - 为du而生

加拿大著名玩具公司Ganz旗下的儿童游戏网站Webkinz遭到黑客入侵，近2300万玩家的用户名和密码泄露，其中泄露的密码使用了MD5-Crypt算法加密。据ZDNet报道，黑客是利用网站中的SQL注入漏洞入侵游戏数据库的，据称该漏洞的细节已在黑客论坛中流传了几个月。黑客可能还偷取了哈希加密的电子邮件地址。消息人士称Webkinz员工已经修复了黑客使用的漏洞，但Ganz尚未对此事件进行回应。

原文链接：

https://www.zdnet.com/article/hacker-leaks-23-million-usernames-and-passwords-from-webkinz-childrens-game/

2、FPGA芯片Starbleed漏洞，影响赛灵思多个产物

尊龙抖圈 - 为du而生

研究人员发现FPGA芯片存在Starbleed漏洞，影响了赛灵思7系列的Spartan、Artix、Kintex、Virtex子系列多个产物。由于漏洞为硬件级别漏洞，因而只能通过更换芯片来修复漏洞。宁静研究人员发现可以通过解密被加密的比特流来访问和修改用于编程的文件。因此，黑客可以利用该漏洞完全控制FPGA芯片，而且可能偷取比特流中的知识产权。德国Max Planck研究所的Christof Paar教授体现，攻击者甚至可以进行远程攻击，或是向FPGA芯片植入硬件木马。

原文链接：

https://www.helpnetsecurity.com/2020/04/20/starbleed-vulnerability/

3、CNCERT宣布《2019年我国互联网网络宁静态势综述》陈诉

尊龙抖圈 - 为du而生

国家互联网应急中心（CNCERT）于2020年4月20日宣布了《2019年我国互联网网络宁静态势综述》陈诉。该陈诉立足于CNCERT网络宁静宏观监测数据与事情实践陈诉，涉及2019年典型网络宁静事件、网络宁静新趋势及日常网络宁静事件应急处置实践等内容。陈诉主要包罗四个部门，一是总结2019年我国互联网网络宁静状况，二是预测2020年网络宁静热点，三是结合网络宁静态势分析提出对策建议，四是梳理网络宁静监测数据。该陈诉对我国党政机关、行业企业及全社会了解我国网络宁静形势，提高网络宁静意识，做好网络宁静事情提供了有力参考。

原文链接：

http://www.cac.gov.cn/2020-04/20/c_1588932297982643.htm

4、研究人员披露IBM企业宁静软件中的4个0day

尊龙抖圈 - 为du而生

宁静研究人员在分析IBM Data Risk Manager（IDRM）时发现了4个0day，分别为身份验证绕过漏洞、命令注入漏洞、不宁静的默认密码漏洞以及任意文件下载漏洞。这些漏洞可以单独使用也可以组合使用，组合使用前三个漏洞可以使攻击者以root权限远程执行代码，组合使用第一个和第四个漏洞可以使未授权的攻击者下载任意文件。漏洞的披露者Ribeiro体现，IDRM是处置敏感信息的企业宁静产物，如果其遭到攻击会导致公司利益严重受损，因此在IBM拒绝接受漏洞陈诉后选择将其宣布出来。目前，IBM公司修复了IDRM2.0.1及更高版本中的任意文件下载漏洞和命令注入漏洞，而且正在视察身份验证绕过漏洞。

原文链接：

https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/

5、微软宣布紧急更新，修复Office和Paint 3D中多个漏洞

尊龙抖圈 - 为du而生

Microsoft宣布了紧急宁静更新，以修复使用了Autodesk FBX库的Microsoft产物，包罗多个版本的Microsoft Office和Windows 10应用法式Paint 3D。本次修复的漏洞为FBX库中的远程执行代码漏洞，攻击者利用此漏洞可以获得与当地用户相同的权限，Autodesk在4月15日推出了针对此漏洞的补丁法式。Microsoft体现，黑客必须诱使用户打开其特制的3D文件才可以乐成利用此漏洞，因此，在宁静更新之前用户需要远离那些可疑文件以保证宁静。

原文链接：

https://news.softpedia.com/news/microsoft-releases-emergency-update-for-windows-10-app-microsoft-office-529800.shtml

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

信息宁静周报-2020年第17周

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线