返回

巨头公司Microsoft,SAP,Adobe和Google“扎堆”发布针对安全漏洞更新

2020-07-16 08:21TechWeb.com.cn

众所周知,对于安全研究员来说,每个月的第二个星期二是微软(Microsoft )“补丁星期二”。这次也毫无例外,微软公司当天发布了针对其产品中的安全漏洞的补丁。不过比较戏剧性的是,这次是“聚会”,因为SAP ,Adobe 和Google 同一天也都针对自身产品发布了安全更新。

Microsoft

早在今年5月份,安全研究人员发现了Windows DNS的一个严重安全漏洞并上报给微软。微软已确认此漏洞,于7月14日发布了安全漏洞更新.此漏洞代号为"SigRed",也列为“蠕虫漏洞”,已存在于系统代码中已有17年之久。其CVSS严重性评分为10,这是可能的最高评分,当然也就意味着此次漏洞的严重性。

该漏洞位于Windows DNS服务器中并且被描述为可蠕虫,未经身份验证的黑客可以将特制的数据包发送到易受攻击的Windows DNS服务器以利用该计算机,从而允许在本地系统帐户的上下文中运行任意代码,从而使攻击者可以控制整个网络。

攻击者不仅可以完全控制系统,而且还可以利用服务器作为分发点,从而使攻击者可以在系统之间传播恶意软件,而无需任何用户交互。这种可蠕虫攻击的功能增加了严重性和影响力的另一整个层次,使恶意软件作者可以编写类似于著名的可蠕虫恶意软件(如Wannacry和NotPetya)的勒索软件。

微软表示,该漏洞影响所有Windows Server版本,其他版客户端版本和Windows 10不受影响。因为它只影响微软的Windows DNS Server实现。不过微软指出,目前还没有发现这个漏洞被利用的证据,但客户必须尽快应用Windows在线更新来解决这个漏洞。

SAP

SAP发布了名为RECON的漏洞补丁(代号为CVE-2020-6287),该漏洞是NetWeaver上的Remote Exploitable Code的简称。与Microsoft SigRed漏洞一样,该漏洞的CVSS评分也为10。该漏洞使未经身份验证的攻击者可以完全访问目标SAP系统,包括修改记录,窃取数据,破坏数据,删除或修改日志的功能,攻击者可利用该漏洞接管企业服务器。

RECON漏洞存在于SAP NetWeaver AS JAVA(LM Configuration Wizard)7.30版本至7.50版本,SAP NetWeaver AS JAVA是大多数SAP环境中的核心组件。

该组件用于多款流行的SAP产品,包括SAP S/4HANA,SAP SCM,SAP CRM,SAP CRM,SAP Enterprise Portal,和SAP Solution Manager(SolMan)。RECON漏洞影响运行SAP NetWeaver技术堆栈的每个SAP应用程序(包括SCM,CRM,PI,企业门户和解决方案管理器)中存在的默认组件。根据安全公司说法,全球40,000个SAP客户可能会受到影响。

SAP强烈建议使用SAP解决方案的组织尽快应用安全补丁,避免攻击者完全控制他们的SAP应用程序,窃取敏感数据。

Adobe

Adobe 针对Adobe Download Manager,ColdFusion,Genuine Service,Media Encoder和Creative Cloud桌面应用程序发布了四个重要补丁。ColdFusion,Genuine Service和Creative Cloud Desktop中的漏洞使攻击者能够利用特权升级来获取对目标系统的访问权并执行任意代码。

任意代码执行使攻击者能够在设备上或进程内执行命令或代码。 ACE漏洞本身仅限于受影响进程的特权范围。但是,当与特权升级漏洞结合使用时,它可以使攻击者快速升级进程的特权并在目标系统上执行代码,从而使攻击者可以完全控制设备。

漏洞详情如下:

命令注入漏洞(代号为CVE-2020-9688):

影响 Adobe Download Manager 2.0.0.518版本,升级2.0.0.519可修复

DLL搜索顺序劫持漏洞(代号为CVE-2020-9672 ,CVE-2020-9673):

ColdFusion 2016 版号15及以下的都会受到影响,版号升级16可修复

ColdFusion 2018 版号9及以下的都会受到影响, 版号升级10可修复

库加载不安全(代号:CVE-2020-9667,CVE-2020-9681)和错误处理符号链接 (代号CVE-2020-9668):

Genuine Service 版号6.6及以下的都会受到影响,版号升级7.1可修复

越界读取(CVE-2020-9649)和 越界写漏洞(CVE-2020-9650,CVE-2020-9646):

Media Encoder 14.2及更早版本都会受到影响,升级14.3可修复

缺乏漏洞利用缓解措施(CVE-2020-9669),不安全的文件权限(CVE-2020-9671 ) ,Symlink漏洞(CVE-2020-9670,CVE-2020-9682):

Creative Cloud Desktop 5.1及更早版本都会受到影响,升级5.2可修复

Google

谷歌发布了Chrome 84,目前已经可以在线更新,该版本可解决38个安全漏洞。其中最严重的漏洞称为CVE-2020-6510,等级为严重,被描述为与Chrome的后台获取功能相关的缓冲区溢出漏洞。在所有这些情况下,建议用户和安全操作团队运行补丁程序,来增强安全性。

相关文章 大家在看
微软
60315篇文章
查看