每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞

发布于 作者:

每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞

交大捷普 2024-12-16 10:14

2024[ 每周网安资讯 ]12.10-12.16

网安资讯

1、中国计算机学会首届中国数字金融大会开幕

2024年12月7日,由中国计算机学会(CCF)主办,CCF数字金融分会、同济大学、上海立信会计金融学院联合承办的CCF首届中国数字金融大会在上海开幕,以“创新·融合·安全——共筑数字金融新生态”为主题。中国工程院院士、复旦大学教授柴洪峰,大会主席、中国工程院院士、同济大学教授、CCF数字金融分会主任蒋昌俊等出席开幕式,来自国内外数字金融领域的200多位院士专家、企业代表、高校智库代表等参会。

2、2项网络安全国家标准获批发布

根据2024年11月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第29号),全国网络安全标准化技术委员会归口的2项网络安全国家标准正式发布。具体清单如下:

①   GB/T 44886.1-2024 网络安全技术 网络安全产品互联互通 第1部分:框架(实施时间2025-06-01)

②   GB/T 30278-2024 网络安全技术 政务计算机终端核心配置规范(实施时间2025-06-01)

安全情报

1、AppLite:针对移动员工设备的新型AntiDot变种

近期,zLabs发现了一个复杂的Mishing(针对移动设备的网络钓鱼)活动。据悉,攻击者伪装成知名公司的招聘人员或人力资源代表,通过发送招聘相关的钓鱼邮件,并利用社会工程学手段诱骗受害者进入虚假的招聘流程。在此过程中,受害者将被引导下载一个充当植入器的CRM Android恶意应用程序,最终在目标设备上安装AppLite银行木马。

2、施耐德电气警告 Modicon 控制器存在严重漏洞

施耐德电气发布安全通报,警告其Modicon M241、M251、M258和 LMC058可编程逻辑控制器 (PLC)存在一个严重漏洞。该漏洞被追踪为CVE-2024-11737,CVSS得分为9.8,攻击者可利用该漏洞拒绝服务并破坏控制器的完整性。

3、GitLab 漏洞暴露用户账户

GitLab发布了一个重要的安全更新,以解决影响其平台多个版本的一系列漏洞。该更新包括社区版(CE)和企业版(EE)的17.6.2、17.5.4和17.4.6版本,解决了可能导致严重后果的漏洞,包括账户接管、拒绝服务攻击和信息泄露。

4、目标Android用户:伪装成流行应用程序的AppLite木马

zLabs发现了AppLite,它是AntiDot银行木马的一个复杂的新变种,通过大范围的网络钓鱼活动以安卓设备为目标。该恶意软件伪装成Chrome、TikTok和企业工具等合法应用程序,能够窃取敏感凭证并完全控制受感染的设备。

漏洞预警

1、Apple Macos存在安全漏洞

Apple macOS是美国苹果(Apple)公司的一套专为Mac计算机所开发的专用操作系统。Apple macOS 14.6存在安全漏洞,该漏洞源于对已解锁Mac具有物理访问权限的人可能能够获得root代码执行权。

2、Gitlab存在低效的正则表达式复杂性漏洞

GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab CE/EE存在安全漏洞。攻击者利用该漏洞导致系统拒绝服务。以下版本受到影响:16.7.7版本至16.8.6之前版本、16.9版本至16.9.4之前版本、16.10版本至16.10.2之前版本。

3、Fortinet Fortios存在信息暴露漏洞

Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiOS存在信息泄露漏洞,该漏洞源于将敏感信息暴露给未经授权的参与者,允许攻击者通过HTTP请求获取信息。

4、Gitlab存在跨站脚本漏洞

GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab CE/EE 16.9 到 16.9.4 、16.10 到 16.10.2版本存在跨站脚本漏洞,该漏洞源于diff viewer中存在安全问题,允许攻击者代替受害者执行任意操作。

5、7-zip存在整数下溢或超界折返漏洞

7-Zip是7-Zip开源的一个压缩软件。7-Zip存在数字错误漏洞,该漏洞源于Zstandard解压缩过程中对用户提供的数据验证不当,可能导致整数下溢,并在写入内存前执行任意代码。

关于捷普

捷普作为一家国内先进的新时代网络信息安全产品和服务提供商,坚持以“全面安全 智慧安全”为产品理念,持续技术创新,为广大用户提供
基础设施安全、信创安全、工控安全、云安全、物联网安全、国密安全
等六大系列网络安全产品。并在风险评估、渗透测试等
安全服务
上占据优势,协助用户全面提升IT基础设施的安全性、合规性和生产效能,面向数字时代保障信息系统全面安全。

END