抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静周报

信息宁静周报-2020年第41周

宣布时间 2020-10-13

> 本周宁静态势综述

2020年10月05日至10月11日共收录宁静漏洞57个，值得关注的是Google Android Qualcomm闭源组件CVE-2020-3654代码执行漏洞；Google Android Qualcomm闭源组件CVE-2020-3657代码执行漏洞；Google Android system组件CVE-2020-0416代码执行漏洞；D-Link DAP-136 IP参数命令执行漏洞；Facebook WhatsApp RTP Extension栈溢出漏洞。

本周值得关注的网络宁静事件是：CISA宣布2019财年风险漏洞评估的信息图；宁静公司Arctic Wolf宣布宁静运营年度陈诉；Google宣布的Chrome宁静更新修复多个漏洞；Adobe因服务中断导致用户无法登录Creative Cloud；Android版Facebook中存在漏洞，或将导致远程代码执行。

凭据以上综述，本周宁静威胁为中。

> 重要宁静漏洞列表

1.Google Android Qualcomm闭源组件CVE-2020-3654代码执行漏洞

Google Android Qualcomm闭源组件实现存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使服务法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://source.android.com/security/bulletin/2020-10-01

2.Google Android Qualcomm闭源组件CVE-2020-3657代码执行漏洞

Google Android Qualcomm闭源组件实现存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使服务法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://source.android.com/security/bulletin/2020-10-01

3.Google Android system组件CVE-2020-0416代码执行漏洞

Google Android Framework组件实现存在宁静漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使服务法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://source.android.com/security/bulletin/2020-10-01

4.D-Link DAP-136 IP参数命令执行漏洞

D-Link DAP-136处置IP参数存在输入验证漏洞，允许远程攻击者利用漏洞提交特殊的请求，可以应用法式上下文执行任意命令。

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10191

5.Facebook WhatsApp RTP Extension栈溢出漏洞

Facebook WhatsApp RTP Extension解析存在栈溢出漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使应用法式崩�；蛞杂τ梅ㄊ缴舷挛闹葱腥我獯�。

https://www.whatsapp.com/security/advisories/2020/

> 重要宁静事件综述

1、CISA宣布2019财年风险漏洞评估的信息图

网络宁静和信息宁静机构(CISA)宣布了2019财年进行的44项风险和漏洞评估（RVA），以及MITER反抗计谋、技术和知识（ATT＆CK）框架的分析信息图。该信息图表确定了CISA在跨多个部门的RVAs期间视察到的通例乐成攻击路径，网络攻击者可以利用这些攻击途径来攻击组织。CISA勉励网络管理员和IT专业人员检察信息图并应用推荐的防御计谋，以防止受到已知战术和技术的攻击。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/10/07/cisa-releases-fy2019-risk-vulnerability-assessment-infographic

2、宁静公司Arctic Wolf宣布宁静运营年度陈诉

宁静公司Arctic Wolf宣布了一份宁静运营年度陈诉。陈诉显示，自3月以来，暗网上果然的公司凭据数量增加了429％。在视察到的高风险宁静事件中，有35％发生在8:00 PM和8:00 AM之间，而14％发生在周末，这是许多内部宁静团队不在线的时间。此外，网络钓鱼和勒索软件攻击次数增加了64％，黑客更多的以COVID-19主题为诱饵，来针对远程事情者。

原文链接：

https://arcticwolf.com/resources/analyst-reports/security-operations-annual-report

3、Google宣布的Chrome宁静更新修复多个漏洞

Google宣布的Chrome宁静更新针对Windows、Mac和Linux版本修复了35个漏洞。其中较为严重的漏洞为支付中的释放后使用漏洞（CVE-2020-15967），其次为Blink、WebRTC、NFC、打印、音频、自动填充和密码管理器中的释放后使用漏洞（CVE-2020-15968、CVE-2020-15969、CVE-2020-15970、CVE-2020-15971、CVE-2020-15972、CVE-2020-15990和CVE-2020-15991）。

原文链接：

https://us-cert.cisa.gov/ncas/current-activity/2020/10/07/google-releases-security-updates-chrome

4、Adobe因服务中断导致用户无法登录Creative Cloud

Adobe因服务中断，导致用户无法登录Creative Cloud或访问其订阅的应用法式或存储的数据。自美国东部时间上午9:30以来，Adobe Creative Cloud用户开始陈诉无法登录该服务或访问生存的图像和数据，当他们试图登录的时候，就会显示“发生了一些错误”的提示。目前，Adobe已在status.adobe.com页面上宣布通知确认了中断，但并未提供任何有关此次中断的详细信息。

原文链接：

https://www.bleepingcomputer.com/news/technology/adobe-creative-cloud-down-users-report-login-data-access-issues/

5、Android版Facebook中存在漏洞，或将导致远程代码执行

宁静研究员Sayed Abdelhafiz发现，Android版Facebook中存在严重漏洞，该漏洞或将导致远程代码执行，利用该漏洞可能导致应用瓦解以及设备接管。Facebook允许通过两种方式下载文件，其中一种是使用“文件”选项卡，将文件先提取到DownloadManager，然后生存到Download Director。Abdelhafiz发现可以创建并下载一个恶意文件，然后在目标设备上执行任意代码。Facebook在得到漏洞陈诉后，已于2020年6月修复了该漏洞。

原文链接：

https://latesthackingnews.com/2020/10/08/code-execution-vulnerability-found-in-facebook-for-android/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号