本周一,谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ,修复了三个高危漏洞,含一个已遭利用的漏洞 CVE-2020-6418。网络设备厂商 Zyxel 发布补丁,修复了多款网络附加存储设备 (NAS) 中已遭利用的一个严重漏洞 CVE-2020-9054。Chrome 0day (CVE-2020-6418)
该漏洞被指为类型混淆问题,影响 Chrome 使用的 V8 开源 JavaScript 引擎。该漏洞是谷歌威胁分析团队的研究员 Clement Lecigne 发现的。谷歌还修复了其它两个高危漏洞,一个是ICU 中的整数溢出漏洞,一个是 streams 组件中的界外内存访问权限问题。该整数溢出漏洞是由 André Bargull 报告的,后者获得5000美元的奖励金;界外漏洞是由谷歌 Project Zero 团队的 Sergei Glazunov 发现的。去年,多个 Chrome 漏洞遭利用。其中在与韩国相关的攻击活动 “OperationWizardOpium” 中使用一个 Chrome 0day 漏洞传播恶意软件。其它 Chrome 漏洞被指和一个 Windows 0day 一起遭利用。
该漏洞的编号是 CVE-2020-9054,是一个远程代码缺陷,可在未经认证的情况下遭利用,它产生的原因在于 weblogin.cgi CGI 可执行文件未能正确地清理传递给它的用户名参数。CERT/CC 解释称,如果用户名中包含某些字符,那么攻击者就可以 web 服务器权限注入命令,之后可利用设备上包含的 setuid 功能以 root 权限运行任意命令。Zyxel 公司发布安全公告称,“运行固件版本 5.2.1 及之前版本的Zyxel NAS 产品的 weblogin.cgi 程序中存在一个远程代码执行漏洞。缺乏对该程序的认证可导致攻击者通过 OS 命令注入执行远程代码。”攻击者可发送特殊构造的 HTTP POST 或 GET 请求在易受攻击的 Zyxel 设备上执行任意代码。即使攻击者无法直接连接该设备(如该设备未暴露给 web),但如果受害者连接到恶意网站,则也可触发该漏洞。安全记者 Brian Krebs 将问题告知 Zyxel 公司、美国国土安全局和 CERT/CC,并指出这个漏洞的 exploit 已在黑市以2万美元的价格出售。Krebs 还表示大规模部署勒索软件的团伙对此表示出购买意向,而 Emotet 组织也有意将该 exploit 纳入恶意软件中。本周,Zyxel 公司发布补丁,修复易受攻击的四款设备:NAS326、NAS520、NAS540 和 NAS542。然而,Zyxel 公司的其它十款NAS产品不再受支持而且也不会收到修复方案:NSA210、 NSA220、 NSA220+、 NSA221、 NSA310、 NSA310S、 NSA320、 NSA320S、 NSA325 和 NSA325v2。这些设备的缓解措施包括拦截对 web 接口(80/tcp 和 443/tcp)的访问权限并确保该 NAS 未被暴露在互联网上。CERT/XX 认为该漏洞的 CVSS 评分为10分,并推荐从互联网隔离任何可访问该易受攻击的 web 接口的机器。Zyxel 公司表示,“不要将产品直接暴露于互联网。如有可能,则将其连接到安全路由器或部署防火墙进行进一步防护。”
https://www.securityweek.com/zyxel-patches-zero-day-vulnerability-network-storage-productshttps://www.securityweek.com/google-patches-chrome-vulnerability-exploited-wild
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。