巨頭公司Microsoft,SAP,Adobe和Google“紮堆”發佈針對安全漏洞更新
2020年07月15日15:42

原標題:巨頭公司Microsoft,SAP,Adobe和Google“紮堆”發佈針對安全漏洞更新

眾所周知,對於安全研究員來說,每個月的第二個星期二是微軟(Microsoft )“補丁星期二”。這次也毫無例外,微軟公司當天發佈了針對其產品中的安全漏洞的補丁。不過比較戲劇性的是,這次是“聚會”,因為SAP ,Adobe 和Google 同一天也都針對自身產品發佈了安全更新。

Microsoft

早在今年5月份,安全研究人員發現了Windows DNS的一個嚴重安全漏洞並上報給微軟。微軟已確認此漏洞,於7月14日發佈了安全漏洞更新.此漏洞代號為"SigRed",也列為“蠕蟲漏洞”,已存在於系統代碼中已有17年之久。其CVSS嚴重性評分為10,這是可能的最高評分,當然也就意味著此次漏洞的嚴重性。

該漏洞位於Windows DNS服務器中並且被描述為可蠕蟲,未經身份驗證的駭客可以將特製的數據包發送到易受攻擊的Windows DNS服務器以利用該計算機,從而允許在本地系統帳戶的上下文中運行任意代碼,從而使攻擊者可以控制整個網絡。

攻擊者不僅可以完全控制系統,而且還可以利用服務器作為分發點,從而使攻擊者可以在系統之間傳播惡意軟件,而無需任何用戶交互。這種可蠕蟲攻擊的功能增加了嚴重性和影響力的另一整個層次,使惡意軟件作者可以編寫類似於著名的可蠕蟲惡意軟件(如Wannacry和NotPetya)的勒索軟件。

微軟表示,該漏洞影響所有Windows Server版本,其他版客戶端版本和Windows 10不受影響。因為它隻影響微軟的Windows DNS Server實現。不過微軟指出,目前還沒有發現這個漏洞被利用的證據,但客戶必須盡快應用Windows在線更新來解決這個漏洞。

SAP

SAP發佈了名為RECON的漏洞補丁(代號為CVE-2020-6287),該漏洞是NetWeaver上的Remote Exploitable Code的簡稱。與Microsoft SigRed漏洞一樣,該漏洞的CVSS評分也為10。該漏洞使未經身份驗證的攻擊者可以完全訪問目標SAP系統,包括修改記錄,竊取數據,破壞數據,刪除或修改日誌的功能,攻擊者可利用該漏洞接管企業服務器。

RECON漏洞存在於SAP NetWeaver AS JAVA(LM Configuration Wizard)7.30版本至7.50版本,SAP NetWeaver AS JAVA是大多數SAP環境中的核心組件。

該組件用於多款流行的SAP產品,包括SAP S/4HANA,SAP SCM,SAP CRM,SAP CRM,SAP Enterprise Portal,和SAP Solution Manager(SolMan)。RECON漏洞影響運行SAP NetWeaver技術堆棧的每個SAP應用程式(包括SCM,CRM,PI,企業門戶和解決方案管理器)中存在的預設組件。根據安全公司說法,全球40,000個SAP客戶可能會受到影響。

SAP強烈建議使用SAP解決方案的組織盡快應用安全補丁,避免攻擊者完全控制他們的SAP應用程式,竊取敏感數據。

Adobe

Adobe 針對Adobe Download Manager,ColdFusion,Genuine Service,Media Encoder和Creative Cloud桌面應用程式發佈了四個重要補丁。ColdFusion,Genuine Service和Creative Cloud Desktop中的漏洞使攻擊者能夠利用特權升級來獲取對目標系統的訪問權並執行任意代碼。

任意代碼執行使攻擊者能夠在設備上或進程內執行命令或代碼。 ACE漏洞本身僅限於受影響進程的特權範圍。但是,當與特權升級漏洞結合使用時,它可以使攻擊者快速升級進程的特權並在目標系統上執行代碼,從而使攻擊者可以完全控制設備。

漏洞詳情如下:

命令注入漏洞(代號為CVE-2020-9688):

影響 Adobe Download Manager 2.0.0.518版本,升級2.0.0.519可修復

DLL搜索順序劫持漏洞(代號為CVE-2020-9672 ,CVE-2020-9673):

ColdFusion 2016 版號15及以下的都會受到影響,版號升級16可修復

ColdFusion 2018 版號9及以下的都會受到影響, 版號升級10可修復

庫加載不安全(代號:CVE-2020-9667,CVE-2020-9681)和錯誤處理符號鏈接 (代號CVE-2020-9668):

Genuine Service 版號6.6及以下的都會受到影響,版號升級7.1可修復

越界讀取(CVE-2020-9649)和 越界寫漏洞(CVE-2020-9650,CVE-2020-9646):

Media Encoder 14.2及更早版本都會受到影響,升級14.3可修復

缺乏漏洞利用緩解措施(CVE-2020-9669),不安全的文件權限(CVE-2020-9671 ) ,Symlink漏洞(CVE-2020-9670,CVE-2020-9682):

Creative Cloud Desktop 5.1及更早版本都會受到影響,升級5.2可修復

Google

Google發佈了Chrome 84,目前已經可以在線更新,該版本可解決38個安全漏洞。其中最嚴重的漏洞稱為CVE-2020-6510,等級為嚴重,被描述為與Chrome的後台獲取功能相關的緩衝區溢出漏洞。在所有這些情況下,建議用戶和安全操作團隊運行補丁程式,來增強安全性。

關注我們Facebook專頁
    相關新聞
      更多瀏覽