首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2018年第50周

宣布时间 2018-12-17

本周清静态势综述

2018年12月10日16日共收录清静误差82个，，，，，，，值得关注的是ThinkPHP 5.x远程下令执行误差；；；Adobe Acrobat/Reader多个整数溢出误差；；；Microsoft Outlook CVE-2018-8587远程代码执行误差；；；Microsoft Windows DNS堆溢出误差；；；Apache Commons FileUpload DiskFileItem远程代码执行误差。。。。。。。

本周值得关注的网络清静事务是爱立信软件证书逾期，，，，，，，导致11个国家通讯网络瘫痪；；；新API误差导致5250万用户隐私袒露，，，，，，，Google+将被提前关闭；；；美国众议院宣布网络清静战略报告，，，，，，，提出六项指导原则；；；神枪手行动，，，，，，，使用Rising Sun瞄准全球国防及要害基础设施；；；意大利石油和自然气公司Saipem遭到黑客网络攻击。。。。。。。

凭证以上综述，，，，，，，本周清静威胁为中。。。。。。。

主要清静误差列表

1. ThinkPHP 5.x远程下令执行误差

ThinkPHP对控制器名保存输入验证误差，，，，，，，允许远程攻击者使用误差提交特殊的请求，，，，，，，以WEB权限执行恣意下令。。。。。。。

https://blog.thinkphp.cn/869075

2. Adobe Acrobat/Reader多个整数溢出误差

Adobe Acrobat/Reader保存整数溢出误差，，，，，，，允许远程攻击者可以使用误差提交特殊的文件，，，，，，，诱使用户剖析，，，，，，，可使应用程序崩�；；；蛑葱许б獯�。。。。。。。

https://helpx.adobe.com/security/products/acrobat/apsb18-41.html

3. Microsoft Outlook CVE-2018-8587远程代码执行误差

Microsoft Outlook不准确处置惩罚内存工具误差，，，，，，，允许远程攻击者可以使用误差提交特殊的文件，，，，，，，诱使用户剖析，，，，，，，可执行恣意代码。。。。。。。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2018-8587

4. Microsoft Windows DNS堆溢出误差

Microsoft DNS Server保存基于堆的溢出误差，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，以应用程序上下文执行恣意代码。。。。。。。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

5. Apache Commons FileUpload DiskFileItem远程代码执行误差

Apache Commons FileUpload实现保存Java Object反序列化误差，，，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，，，可以应用程序上下文执行恣意代码。。。。。。。

http://www.zerodayinitiative.com/advisories/ZDI-16-570/

主要清静事务综述

1、爱立信软件证书逾期，，，，，，，导致11个国家通讯网络瘫痪

12月6日瑞典通讯巨头爱立信的装备泛起软件故障，，，，，，，导致数以百万计的手机用户网络通讯瘫痪，，，，，，，多个使用爱立信装备的国家受到影响，，，，，，，包括英国移动运营商O2的用户、日本软银的用户等。。。。。。。爱立信在新闻稿中称装备故障是由特定版本的SGSN–MME软件导致的，，，，，，，详细来说，，，，，，，其基础缘故原由是装置在客户设惫亓软件证书逾期。。。。。。。

原文链接：
https://www.ericsson.com/en/press-releases/2018/12/update-on-software-issue-impacting-certain-customers

2、新API误差导致5250万用户隐私袒露，，，，，，，Google+将被提前关闭

Google确认Google+再遭清静事务，，，，，，，另一个API误差导致第三方应用和开发者可在未经允许的情形下会见5250万用户的小我私家信息。。。。。。。这些信息包括姓名、电子邮件地点、职业和年岁等。。。。。。。凭证Google的说法，，，，，，，该误差是在11月通过软件更新引入的，，，，，，，并在一周内被发明息争决，，，，，，，没有证据批注该误差被第三方使用。。。。。。。Google将在2019年4月关闭Google+效劳，，，，，，，比原定的2019年8月提前了4个月。。。。。。。

原文链接：
https://thehackernews.com/2018/12/google-plus-hacking.html

3、美国众议院宣布网络清静战略报告，，，，，，，提出六项指导原则

美国众议院能源和商业委员会宣布网络清静战略报告，，，，，，，旨在确立预防缓和解网络清静事务的战略。。。。。。。该报告以为目今美国的网络清静行动并未跟上互联网的生长，，，，，，，古板的信息手艺战略在应对一直增添的网络清静事务中收效甚微。。。。。。。报告梳理出六点网络清静看法与六项网络清静优先项，，，，，，，包括建设普遍接受的协同披露程序、引入软件物料清单（software bill of materials，，，，，，，简称SBOM）、支持开源软件、完善CVE程序、实验手艺生命周期支持战略以及强化公私相助模式。。。。。。。

原文链接：
https://energycommerce.house.gov/wp-content/uploads/2018/12/12.07.18-Cybersecurity-Strategy-Report.pdf

4、神枪手行动，，，，，，，使用Rising Sun瞄准全球国防及要害基础设施

welcome-百乐博

McAfee研究职员发明新恶意活动“神枪手行动”，，，，，，，该活动针对全球的国防和要害基础设施，，，，，，，包括核能、国防、能源和金融企业。。。。。。。自2018年10月25日以来，，，，，，，在短短两个月内神枪手行动已影响了全球87个企业。。。。。。。攻击者伪装成招聘活动，，，，，，，通过Dropbox分发包括恶意宏的Word文档，，，，，，，并最终交付Rising Sun后门。。。。。。。该后门与APT组织Lazarus在2015年使用的恶意软件Duuzer具有相同的代码。。。。。。。只管许多线索都指向了Lazarus，，，，，，，但研究职员以为这些过于显着的证据可能只是攻击者居心设置的false flag。。。。。。。

原文链接：
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/

5、意大利石油和自然气公司Saipem遭到黑客网络攻击

本周一意大利石油和自然气公司Saipem遭到网络攻击。。。。。。。Saipem公司的客户遍布在60多个国家内，，，，，，，此次攻击泉源于印度，，，，，，，主要影响了该公司在中东地区的效劳器，，，，，，，包括沙特阿拉伯、阿联酋和科威特，，，，，，，其在意大利、法国和英国的主要运营中心没有受到影响。。。。。。。Saipem对路透社体现攻击泉源于印度金奈，，，，，，，但攻击者的身份不明，，，，，，，由于系统都有备份，，，，，，，因此没有数据受到损失。。。。。。。

原文链接：
https://securityaffairs.co/wordpress/78859/hacking/saipem-cyber-attack.html

声明：本资讯由百乐博维他命清静小组翻译和整理

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究

信息清静周报-2018年第50周

关于百乐博

解决计划

联系百乐博

7*24小时效劳热线