首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第38周

宣布时间 2019-09-30

本周清静态势综述

2019年9月23日至29日共收录清静误差43个，值得关注的是RIOT MQTT-SN CVE-2019-16754空指针间接引用误差; vBulletin widgetConfig[code]远程代码执行误差；Adobe ColdFusion恣意代码执行误差；Microsoft Internet Explorer内存工具处置惩罚远程代码执行误差；phpstudy后门植入误差。

本周值得关注的网络清静事务是Tesco停车应用保存误差导致数万万车牌图像泄露；微软紧迫修复IE中的RCE 0day及Defender中的DoS误差；据统计2019年美国已有多达500所学校遭勒索软件攻击；iOS 13和iPadOS误差可导致第三方键盘获取完全会见权限；iOS误差Checkm8可导致iPhone4到X永世越狱。

凭证以上综述，本周清静威胁为中。

主要清静误差列表

1. RIOT MQTT-SN CVE-2019-16754空指针间接引用误差
RIOT MQTT-SN实现保存空指针引用误差，允许远程攻击者可以使用误差提交特殊的请求，可使系统瓦解。
https://github.com/RIOT-OS/RIOT/pull/12293

2. vBulletin widgetConfig[code]远程代码执行误差
vBulletin ajax/render/widget_php routestring处置惩罚widgetConfig[code]保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可以应用程序上下文执行恣意下令。
https://seclists.org/fulldisclosure/2019/Sep/31

3. Adobe ColdFusion恣意代码执行误差
Adobe ColdFusion某组件保存清静误差，允许远程攻击者可以使用误差提交特殊的请求，可注入恣意下令并执行。
https://helpx.adobe.com/security/products/coldfusion/apsb19-47.html

4. Microsoft Internet Explorer内存工具处置惩罚远程代码执行误差
Microsoft Internet Explorer处置惩罚内存工具保存清静误差，允许远程攻击者可以使用误差提交特殊的WEB请求，诱使用户剖析，可使应用程序崩�；蛑葱许б獯�。
https://support.microsoft.com/zh-cn/help/4522007/cumulative-security-update-for-internet-explorer

5. phpstudy后门植入误差
phpstudy被注入后门，允许远程攻击者可以使用误差提交特殊的请求，控制目的应用系统。
https://www.xp.cn/

主要清静事务综述

1、Tesco停车应用保存误差导致数万万车牌图像泄露

优发国际·随优而动一触即发

在外媒The Register报道数万万张ANPR（车牌自动识别）图像在Microsoft Azure中袒露之后，Tesco已关闭其停车验证Web应用。这些图像由英国各地的19个Tesco停车场合拍摄的进入和脱离的汽车照片组成，照片中突出显示了汽车的车牌，虽然由于区分率较低而看不到驾驶员。ANPR图像以带有时间戳的jpeg名堂生涯在Azure blob中，并且图像文件名也包括时间信息，从而使得任何准确推断出所需HTTP POST请求名堂的人可以批量获取这些图像以供不法使用。

原文链接：
https://www.theregister.co.uk/2019/09/20/tesco_parking_app_10s_millions_anpr_photos_exposed/

2、微软紧迫修复IE中的RCE 0day及Defender中的DoS误差

优发国际·随优而动一触即发

微软宣布紧迫清静更新，修复IE中的RCE 0day及Windows Defender中的DoS误差。其中IE 0day为谷歌研究职员ClémentLecigne发明的剧本引擎内存损坏误差（CVE-2019-1367），攻击者可使用该误差在目今用户的上下文中执行恣意代码。该误差可以通过将目的用户重定向至恶意网站来使用，受影响的版本包括IE9、10和11。另一个误差是Windows Defender中的拒绝服务误差（CVE-2019-1255），该误差与Defender处置惩罚文件的方法有关，攻击者可使用该误差阻止正当账户执行正当的系统文件。受影响的Defender版本为1.1.16300.1，并已在1.1.16400.2中修复。

原文链接：
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

3、据统计2019年美国已有多达500所学校遭勒索软件攻击

优发国际·随优而动一触即发

凭证云清静公司Armor的调研，美国已有49个学区的教育机构遭到勒索软件攻击，使得教育行业成为仅次于地方政府的第二大易受攻击目的。该公司剖析了自2019年1月以来果真报道的攻击，发明在2019年前9个月已有多达500所K-12学校遭到攻击，而去年只有11所学校。仅在9月中旬的一周多时间里就有9个新学区和1所大学受到攻击，波及约100所K-12学校�？的腋裰莸难艿降耐沧钗现�，该州共遭遇了7次攻击，涵盖104所学校。

原文链接：

https://www.infosecurity-magazine.com/news/hundreds-of-us-schools-hit-by/

4、iOS 13和iPadOS误差可导致第三方键盘获取完全会见权限

优发国际·随优而动一触即发

苹果官方宣布了一份新的支持文档，忠言用户有关iOS 13和iPadOS第三方键盘保存的清静误差。该公司体现，一些第三方键盘软件纵然未被批准完全会见权限也可能会由于iOS 13和iPadOS中的误差而被授予完全会见权限。这一问题影响了iPhone、iPad或iPod touch装置的键盘，但不影响苹果的内置键盘，也不会影响未使用完全会见权限的第三方键盘，苹果将在即将到来的软件更新中修复此误差。

原文链接：

https://threatpost.com/bug-granting-full-access-keyboards/148638/

5、iOS误差Checkm8可导致iPhone4到X永世越狱

优发国际·随优而动一触即发

清静研究员axi0mX披露iOS中的清静误差checkm8，该误差可以使iPhone4S（A5芯片）到iPhone8、iPhoneX（A11芯片）的所有苹果手机及同款A系列处置惩罚器的iPad、iPod touch等iOS装备永世越狱。没有提到最新的A12和A13是否受到影响。该攻击使用了bootrom误差，即存储了iPhone启动指令的只读存储器（ROM）误差，由于该部分内存是只读的，因此无法通过清静更新来修复误差。研究职员在Github上宣布了相关误差使用，但尚无果真可用的越狱程序。

原文链接：
https://threatpost.com/ios-exploit-checkm8-could-allow-permanent-iphone-jailbreaks/148762/

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

信息清静周报-2019年第38周

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线