首页 > 安全钻研 > 安全传递 > 安全周报

信息安全周报-2019年第39周

颁布功夫 2019-10-08

> 本周安全态势综述

2019年9月30日至10月06日收录安全缝隙42个，，，，，，值得关注的是Exim ‘string_vformat’函数缓冲区溢露马脚; Linux kernel cfg80211_mgd_wext_giwessid缓冲区溢露马脚；；；；；；；；Liferay Portal JSON负载反序列化代码执行缝隙；；；；；；；；Cisco Security Manager Java反序列化肆意代码执行缝隙；；；；；；；；WhatsApp DDGifSlurp内存谬误引用缝隙。。。。。。。

本周值得关注的网络安全事务是黑客窃取超过2.18亿Words With Friends玩家数据；；；；；；；；丹麦公司Demant遭到勒索软件攻击损失9500万美元；；；；；；；；eGobbler新恶意告白活动劫持超过10亿用户会话；；；；；；；；俄罗斯超过2000万公民的税收纪录及PII在网上泄露；；；；；；；；钻研人员披露Android系统中的新LPE 0day。。。。。。。

凭据以上综述，，，，，，本周安全威胁为钟祝。。。。。。

> 沉要安全缝隙列表

1. Exim ‘string_vformat’函数缓冲区溢露马脚

Exim ‘string_vformat’函数存在缓冲区溢露马脚，，，，，，允许远程攻击者能够利用缝隙提交特殊的要求，，，，，，可使利用法式崩溃�；；；；；；；蛑葱兴烈獯搿�。。。。。。
https://lists.exim.org/lurker/message/20190927.032457.c1044d4c.en.html

2. Linux kernel cfg80211_mgd_wext_giwessid缓冲区溢露马脚

Linux kernel net/wireless/wext-sme.c cfg80211_mgd_wext_giwessid处置超长SSID IE存在缓冲区溢露马脚，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可使系统崩溃�；；；；；；；蛑葱兴烈獯搿�。。。。。。
https://marc.info/?l=linux-wireless&m=157018270915487&w=2

3. Liferay Portal JSON负载反序列化代码执行缝隙

Liferay Portal处置JSON负载存在反序列化缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可执行肆意代码。。。。。。。
https://sec.vnpt.vn/2019/09/liferay-deserialization-json-deserialization-part-4/

4. Cisco Security Manager Java反序列化肆意代码执行缝隙

Cisco Security Manager Java反序列化函数存在安全缝隙，，，，，，允许通过验证的远程攻击者能够利用缝隙提交特殊的要求，，，，，，可执行肆意号令。。。。。。。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-sm-java-deserial

5. WhatsApp DDGifSlurp内存谬误引用缝隙

WhatsApp decoding.c中的DDGifSlurp存在两次开释缝隙，，，，，，允许远程攻击者利用缝隙提交特殊的要求，，，，，，可执行肆意代码。。。。。。。
https://www.facebook.com/security/advisories/cve-2019-11932

> 沉要安全事务综述

1、黑客窃取超过2.18亿Words With Friends玩家数据