首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2019年第38周

宣布时间 2019-09-30

本周清静态势综述

2019年9月23日至29日共收录清静误差43个，，，，，值得关注的是RIOT MQTT-SN CVE-2019-16754空指针间接引用误差; vBulletin widgetConfig[code]远程代码执行误差；；；；；；；Adobe ColdFusion恣意代码执行误差；；；；；；；Microsoft Internet Explorer内存工具处置惩罚远程代码执行误差；；；；；；；phpstudy后门植入误差。。。。

本周值得关注的网络清静事务是Tesco停车应用保存误差导致数万万车牌图像泄露；；；；；；；微软紧迫修复IE中的RCE 0day及Defender中的DoS误差；；；；；；；据统计2019年美国已有多达500所学校遭勒索软件攻击；；；；；；；iOS 13和iPadOS误差可导致第三方键盘获取完全会见权限；；；；；；；iOS误差Checkm8可导致iPhone4到X永世越狱。。。。

凭证以上综述，，，，，本周清静威胁为中。。。。

主要清静误差列表

1. RIOT MQTT-SN CVE-2019-16754空指针间接引用误差
RIOT MQTT-SN实现保存空指针引用误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可使系统瓦解。。。。
https://github.com/RIOT-OS/RIOT/pull/12293

2. vBulletin widgetConfig[code]远程代码执行误差
vBulletin ajax/render/widget_php routestring处置惩罚widgetConfig[code]保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可以应用程序上下文执行恣意下令。。。。
https://seclists.org/fulldisclosure/2019/Sep/31

3. Adobe ColdFusion恣意代码执行误差
Adobe ColdFusion某组件保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可注入恣意下令并执行。。。。
https://helpx.adobe.com/security/products/coldfusion/apsb19-47.html

4. Microsoft Internet Explorer内存工具处置惩罚远程代码执行误差
Microsoft Internet Explorer处置惩罚内存工具保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的WEB请求，，，，，诱使用户剖析，，，，，可使应用程序瓦解�；；；；；；蛑葱许б獯�。。。。
https://support.microsoft.com/zh-cn/help/4522007/cumulative-security-update-for-internet-explorer

5. phpstudy后门植入误差
phpstudy被注入后门，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，控制目的应用系统。。。。
https://www.xp.cn/

主要清静事务综述

1、Tesco停车应用保存误差导致数万万车牌图像泄露

welcome-百乐博

在外媒The Register报道数万万张ANPR（车牌自动识别）图像在Microsoft Azure中袒露之后，，，，，Tesco已关闭其停车验证Web应用。。。。这些图像由英国各地的19个Tesco停车场合拍摄的进入和脱离的汽车照片组成，，，，，照片中突出显示了汽车的车牌，，，，，虽然由于区分率较低而看不到驾驶员。。。。ANPR图像以带有时间戳的jpeg名堂生涯在Azure blob中，，，，，并且图像文件名也包括时间信息，，，，，从而使得任何准确推断出所需HTTP POST请求名堂的人可以批量获取这些图像以供不法使用。。。。

原文链接：
https://www.theregister.co.uk/2019/09/20/tesco_parking_app_10s_millions_anpr_photos_exposed/

2、微软紧迫修复IE中的RCE 0day及Defender中的DoS误差

welcome-百乐博

微软宣布紧迫清静更新，，，，，修复IE中的RCE 0day及Windows Defender中的DoS误差。。。。其中IE 0day为谷歌研究职员ClémentLecigne发明的剧本引擎内存损坏误差（CVE-2019-1367），，，，，攻击者可使用该误差在目今用户的上下文中执行恣意代码。。。。该误差可以通过将目的用户重定向至恶意网站来使用，，，，，受影响的版本包括IE9、10和11。。。。另一个误差是Windows Defender中的拒绝效劳误差（CVE-2019-1255），，，，，该误差与Defender处置惩罚文件的方法有关，，，，，攻击者可使用该误差阻止正当账户执行正当的系统文件。。。。受影响的Defender版本为1.1.16300.1，，，，，并已在1.1.16400.2中修复。。。。

原文链接：
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

3、据统计2019年美国已有多达500所学校遭勒索软件攻击

welcome-百乐博

凭证云清静公司Armor的调研，，，，，美国已有49个学区的教育机构遭到勒索软件攻击，，，，，使得教育行业成为仅次于地方政府的第二大易受攻击目的。。。。该公司剖析了自2019年1月以来果真报道的攻击，，，，，发明在2019年前9个月已有多达500所K-12学校遭到攻击，，，，，而去年只有11所学校。。。。仅在9月中旬的一周多时间里就有9个新学区和1所大学受到攻击，，，，，波及约100所K-12学校。。。。浚�？？？？？的腋裰莸难艿降耐沧钗现�，，，，，该州共遭遇了7次攻击，，，，，涵盖104所学校。。。。

原文链接：

https://www.infosecurity-magazine.com/news/hundreds-of-us-schools-hit-by/

4、iOS 13和iPadOS误差可导致第三方键盘获取完全会见权限

welcome-百乐博

苹果官方宣布了一份新的支持文档，，，，，忠言用户有关iOS 13和iPadOS第三方键盘保存的清静误差。。。。该公司体现，，，，，一些第三方键盘软件纵然未被批准完全会见权限也可能会由于iOS 13和iPadOS中的误差而被授予完全会见权限。。。。这一问题影响了iPhone、iPad或iPod touch装置的键盘，，，，，但不影响苹果的内置键盘，，，，，也不会影响未使用完全会见权限的第三方键盘，，，，，苹果将在即将到来的软件更新中修复此误差。。。。

原文链接：

https://threatpost.com/bug-granting-full-access-keyboards/148638/

5、iOS误差Checkm8可导致iPhone4到X永世越狱

welcome-百乐博

清静研究员axi0mX披露iOS中的清静误差checkm8，，，，，该误差可以使iPhone4S（A5芯片）到iPhone8、iPhoneX（A11芯片）的所有苹果手机及同款A系列处置惩罚器的iPad、iPod touch等iOS装备永世越狱。。。。没有提到最新的A12和A13是否受到影响。。。。该攻击使用了bootrom误差，，，，，即存储了iPhone启动指令的只读存储器（ROM）误差，，，，，由于该部分内存是只读的，，，，，因此无法通过清静更新来修复误差。。。。研究职员在Github上宣布了相关误差使用，，，，，但尚无果真可用的越狱程序。。。。

原文链接：
https://threatpost.com/ios-exploit-checkm8-could-allow-permanent-iphone-jailbreaks/148762/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

百乐博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系百乐博

清静研究

信息清静周报-2019年第38周

关于百乐博

解决计划

联系百乐博

7*24小时效劳热线