首页 > 清静研究 > 清静转达 > 清静周报

信息清静周报-2021年第47周

宣布时间 2021-11-22

>本周清静态势综述

本周共收录清静误差67个，，，，，值得关注的是Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出误差；；；；；；Google Chrome media内存过失引用代码执行误差；；；；；；Lantronix PremierWave 2050 CVE-2021-21888下令注入误差；；；；；；Adobe Media Encoder M4A缓冲区溢出误差；；；；；；Apache ShenYu未授权会见误差。。。。

本周值得关注的网络清静事务是FBI邮件系统遭到入侵发送数十万条虚伪的攻击警报；；；；；；网信办宣布《网络数据清静治理条例（征求意见稿）》；；；；；；Facebook发明SideCopy伪造Android应用市肆的攻击；；；；；；Google宣布11月更新，，，，，修复Chrome中的多个误差；；；；；；Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击。。。。

凭证以上综述，，，，，本周清静威胁为中。。。。

>主要清静误差列表

1. Advantech WebAccess HMI Designer CVE-2021-33000项目文件堆溢出误差

Advantech WebAccess HMI Designer项目文件处置惩罚保存堆溢出误差，，，，，允许远程攻击者可以使用误差提交特殊的文件请求，，，，，诱使用户剖析，，，，，可使应用程序崩�；；；；；；蚩梢杂τ贸绦蛏舷挛闹葱许б獯�。。。。

https://us-cert.cisa.gov/ics/advisories/icsa-21-173-01

2. Google Chrome media内存过失引用代码执行误差

Google Chrome media保存释放后使用误差，，，，，允许远程攻击者可以使用误差提交特殊的WEB页请求，，，，，诱使用户剖析，，，，，可使应用程序崩�；；；；；；蚩梢杂τ贸绦蛏舷挛闹葱许б獯�。。。。

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

3. Lantronix PremierWave 2050 CVE-2021-21888下令注入误差

Lantronix PremierWave 2050处置惩罚HTTP请求验证保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可以应用程序上下文执行恣意下令。。。。

https://talosintelligence.com/vulnerability_reports/TALOS-2021-1332

4. Adobe Media Encoder M4A缓冲区溢出误差

Adobe Media Encoder M4A保存缓冲区溢出误差，，，，，允许远程攻击者可以使用误差提交特殊的文件请求，，，，，诱使用户剖析，，，，，可使应用程序崩�；；；；；；蛞杂τ贸绦蛏舷挛闹葱许б獯�。。。。

https://helpx.adobe.com/security/products/media-encoder/apsb21-70.html

5. Apache ShenYu未授权会见误差

Apache ShenYu Admin ShenyuAdminBootstrap保存清静误差，，，，，允许远程攻击者可以使用误差提交特殊的请求，，，，，可绕过清静限制未授权会见。。。。

https://lists.apache.org/thread/o15j25qwtpcw62k48xw1tnv48skh3zgb

>主要清静事务综述

1、FBI邮件系统遭到入侵发送数十万条虚伪的攻击警报

FBI邮件系统在11月13日遭到入侵，，，，，被用来发送数十万条虚伪的攻击警报。。。。这些邮件冒充领土清静部 (DHS)，，，，，声称收件人遭到了来自Vinny Troia的链式攻击。。。。但此人是清静公司NightLion和Shadowbyte的认真人，，，，，研究职员推断此次运动旨在诋毁清静职员Troia。。。。Spamhaus公司体现，，，，，这些邮件都来自FBI执法企业门户（LEEP）的正外地点eims@ic.fbi.gov，，，，，IP地点为153.31.119.142(mx-east-ic.fbi.gov)。。。。FBI称由于软件按设置过失，，，，，使得攻击者可以使用LEEP发送伪造的邮件。。。。

原文链接：

https://securityaffairs.co/wordpress/124570/cyber-crime/fbi-hacked-email-server.html

2、网信办宣布《网络数据清静治理条例（征求意见稿）》

国家网信办于11月14日宣布了《网络数据清静治理条例（征求意见稿）》的果真征求意见通知。。。。阻止今年6月，，，，，我国网民规模达10.11亿，，，，，由此爆发的网络数据量更是天文数字。。。。该条例规范网络数据处置惩罚运动，，，，，�；；；；；；ば∥宜郊摇⒆橹谕缈占涞恼比ㄒ�，，，，，维护国家清静和公共利益。。。。中国互联网协会法工委副秘书长胡钢指出，，，，，这是新时代规范互联网平台企业，，，，，强化反垄断和资源无序扩张的应有之义，，，，，也是维护国家清静、�；；；；；；ど缁峁怖娴男枰�。。。。

原文链接：

http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

3、Facebook发明SideCopy伪造Android应用市肆的攻击

Facebook的清静团队在11月16日披露了巴基斯坦黑客团伙SideCopy新一轮的垂纶运动。。。。此次运动在今年4月至8月之间，，，，，建设并运营了一个伪造的Android应用市肆。。。。攻击者主要通�；；；；；；崦俺淠昵崤岳纯拷康�，，，，，诱使其翻开用来用来网络信息的垂纶网站或者伪造的Android应用市肆。。。。然后通过伪装成谈天应用的恶意软件，，，，，分发PJobRAT和Mayhem等。。。。

原文链接：

https://therecord.media/pakistani-hackers-operated-a-fake-app-store-to-target-former-afghan-officials/

4、Google宣布11月更新，，，，，修复Chrome中的多个误差

11月16日，，，，，Google宣布了本月Chrome的清静更新，，，，，总计修复了25个误差。。。。其中，，，，，较为严重的是在媒体中的释放后使用误差（CVE-2021-38008）、V8中的类型混淆误差（CVE-2021-38007）和加载器中释放后使用误差（CVE-2021-38005）等。。。。别的，，，，，还修复了指纹识别中的堆缓冲区溢出误差（CVE-2021-38013）和Swiftshader中的越界写入（CVE-2021-38014）等误差。。。。

原文链接：

https://chromereleases.googleblog.com/2021/11/stable-channel-update-for-desktop.html

5、Cloudflare宣布其抵御了高达2 Tbps的DDoS攻击

美国网络清静公司Cloudflare在11月15日宣布其抵御了迄今为止遇到的最大攻击DDoS攻击，，，，，峰值略低于2 Tbps。。。。此次攻击运动是连系了DNS放大攻击和UDP泛洪的多向量攻击，，，，，整个历程只一连了一分钟，，，，，来自约15000个机械人组成的僵尸网络Mirai变种。。。。Cloudflare报告称第三季度网络层DDoS攻击运动比上一季度增添了44%，，，，，该公司在8月抵御了每秒1720万次请求的DDoS攻击，，，，，微软在10月称其云效劳Azure抵御了2.4 Tbps的DDoS攻击。。。。

原文链接：

https://securityaffairs.co/wordpress/124634/security/cloudflare-mitigated-ddos-2-tbps.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

bevictor伟德

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系bevictor伟德

清静研究

信息清静周报-2021年第47周

关于bevictor伟德

解决计划

清静研究

联系bevictor伟德

7*24小时效劳热线