|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| apache |
storm_docker |
1 |
1.2.1之前的正式風暴Docker映像包含root用戶的空白密碼。使用受感染的Docker映像版本部署的
Storm Docker容器的系統可能允許遠程攻擊者使用空白密碼來實現root用戶訪問。 |
CVE-2020-29580
|
| apache |
tapestry |
1 |
在Apache Tapestry
4中發現了一個Java序列化漏洞。即使在調用頁面的validate方法之前,Apache Tapestry 4也會嘗試反序列化“
sp”參數,從而導致未經身份驗證的反序列化。 Apache Tapestry 4於2008年停產,將不會發布解決此問題的任何更新。
Apache Tapestry 5版本不容易受到此問題的影響。 Apache Tapestry 4的用戶應升級到最新的Apache
Tapestry 5版本。 |
CVE-2020-17531
|
| apple |
icloud |
1 |
釋放後使用的問題已藉由改進的記憶體管理得到解決。此問題已在watchOS 7.0,iOS
14.0和iPadOS 14.0,用於Windows 12.10.9的iTunes,用於Windows 11.5的iCloud,tvOS
14.0,macOS Catalina 10.15.7,安全更新2020-005 High Sierra,安全更新2020-005
Mojave中修復。處理惡意製作的文件可能會導致任意程式碼執行。 |
CVE-2020-9981
|
| apple |
icloud |
1 |
藉由改進狀態處理解決了類型混淆問題。此問題已在macOS Big Sur 11.0.1,watchOS
7.1,iOS 12.4.9,watchOS 6.2.9,安全更新2020-006 High Sierra,安全更新2020-006
Mojave,iOS 14.2和iPadOS 14.2,watchOS 5.3.9中修復。 ,macOS Catalina
10.15.7補充更新,macOS Catalina 10.15.7更新。惡意應用程序可能能夠以核心特權執行任意程式碼。 |
CVE-2020-27932
|
| apple |
icloud |
1 |
釋放後使用的問題已藉由改進的記憶體管理得到解決。此問題已在macOS Big Sur
11.0.1,watchOS 7.1,iOS 14.2和iPadOS 14.2,適用於Windows
11.5的iCloud,適用於Windows的tvOS 14.2,iTunes 12.11中修復。處理惡意製作的Web內容可能導致程式碼執行。 |
CVE-2020-27917
|
| apple |
icloud |
1 |
藉由改進的輸入驗證解決了越界寫入問題。此問題已在macOS Big Sur 11.0.1,watchOS
7.1,iOS 14.2和iPadOS 14.2,適用於Windows 11.5的iCloud,適用於Windows的tvOS
14.2,iTunes 12.11中修復。處理惡意製作的圖像可能會導致任意程式碼執行。 |
CVE-2020-27912
|
| apple |
icloud |
1 |
藉由改進輸入驗證解決了整數溢位問題。此問題已在macOS Big Sur 11.0.1,watchOS
7.1,iOS 14.2和iPadOS 14.2,適用於Windows 11.5的iCloud,適用於Windows的tvOS
14.2,iTunes 12.11中修復。遠程攻擊者可能會導致應用程序意外終止或任意程式碼執行。 |
CVE-2020-27911
|
| apple |
ipados |
1 |
藉由改進的輸入驗證解決了越界閱讀問題。此問題已在iOS 14.2和iPadOS 14.2,tvOS
14.2,watchOS 7.1中修復。處理惡意製作的音頻文件可能會導致任意程式碼執行。 |
CVE-2020-27909
|
| apple |
ipados |
1 |
藉由改進狀態管理解決了邏輯問題。此問題已在tvOS 14.0,iOS 14.0和iPadOS
14.0中修復。應用程序可能能夠以核心特權執行任意程式碼。 |
CVE-2020-10013
|
| apple |
ipados |
1 |
改進狀態管理解決了記憶體損壞問題。此問題已在macOS Big Sur 11.0.1,iOS
14.2和iPadOS 14.2,tvOS 14.2,watchOS 7.1中修復。應用程序可能能夠以核心特權執行任意程式碼。 |
CVE-2020-10016
|
| apple |
ipados |
1 |
釋放後使用的問題已藉由改進的記憶體管理得到解決。此問題已在iOS 14.2和iPadOS
14.2中修復。處理惡意製作的Web內容可能導致任意程式碼執行。 |
CVE-2020-27926
|
| apple |
ipados |
1 |
改進狀態管理解決了記憶體損壞問題。此問題已在iOS 14.2和iPadOS 14.2,tvOS
14.2,watchOS 7.1中修復。惡意應用程序可能能夠以系統特權執行任意程式碼。 |
CVE-2020-27905
|
| apple |
ipados |
1 |
藉由改進的輸入驗證解決了越界閱讀問題。此問題已在macOS Big Sur 11.0.1,iOS
14.2和iPadOS 14.2,tvOS 14.2,watchOS 7.1中修復。處理惡意製作的音頻文件可能會導致任意程式碼執行。 |
CVE-2020-27910
|
| apple |
ipados |
1 |
藉由改進的輸入驗證解決了越界寫入問題。此問題已在macOS Big Sur 11.0.1,iOS
14.2和iPadOS 14.2,tvOS 14.2,watchOS 7.1中修復。處理惡意製作的音頻文件可能會導致任意程式碼執行。 |
CVE-2020-27916
|
| apple |
ipados |
1 |
釋放後使用的問題已藉由改進的記憶體管理得到解決。此問題已在macOS Big Sur
11.0.1,watchOS 7.0,iOS 14.0和iPadOS 14.0,macOS Catalina
10.15.6,安全更新2020-004 Mojave,安全更新2020-004 High Sierra,tvOS
14.0中修復。應用程序可能能夠以核心特權執行任意程式碼。 |
CVE-2020-9949
|
| apple |
ipados |
1 |
藉由改進的輸入驗證解決了越界閱讀問題。此問題已在macOS Big Sur 11.0.1,watchOS
7.0,tvOS 14.0,iOS 14.0和iPadOS 14.0中修復。應用程序可能能夠以核心特權執行任意程式碼。 |
CVE-2020-9965
|
| apple |
ipados |
1 |
解決了記憶體初始化問題。此問題已在macOS Big Sur 11.0.1,watchOS 7.1,iOS
12.4.9,watchOS 6.2.9,安全更新2020-006 High Sierra,安全更新2020-006 Mojave,iOS
14.2和iPadOS 14.2,watchOS 5.3.9中修復。 ,macOS Catalina 10.15.7補充更新,macOS
Catalina 10.15.7更新。惡意應用程序可能會洩露核心記憶體。 |
CVE-2020-27950
|
| apple |
macos |
1 |
存在邏輯問題,導致記憶體損壞。藉由改進狀態管理解決了這一問題。此問題已在macOS Big Sur
11.0.1中修復。應用程序可能能夠以核心特權執行任意程式碼。 |
CVE-2020-27904
|
| apple |
macos |
1 |
藉由刪除易受攻擊的程式碼解決了該問題。此問題已在macOS Big Sur
11.0.1中修復。應用程序可能能夠獲得提升的特權。 |
CVE-2020-27903
|
| apple |
macos |
1 |
藉由改進輸入驗證解決了多個整數溢位問題。此問題已在macOS Big Sur
11.0.1中修復。遠程攻擊者可能會導致應用程序意外終止或堆損壞。 |
CVE-2020-27906
|
| cisco |
jabber |
1 |
Cisco Jabber 中存在輸入驗證錯誤漏洞,該漏洞源於郵件?容驗證不正確引起的。
攻擊者可以通過向受影響的軟體發送特製的XMPP訊息來利用此漏洞,通過與目標用戶訊息互動,攻擊者可以在Jabber訊息視窗界面?注入任意程式碼。
成功利用該漏洞可能使攻擊者利用運行Cisco
Jabber客戶端軟體的用戶帳戶的特權,使MacOS或Windows平台上的應用程式在目標系統上執行任意程式,可能導致任意程式碼執行。 |
CVE-2020-27134
|
| cisco |
jabber |
1 |
Cisco Jabber 中存在授權問題漏洞,
該漏洞源於軟體允許未通過身份驗證的用戶執行命令以及應用程式協議處理程式的輸入處理不當造成的,
攻擊者可通過利用用戶點擊郵件的未知連結來使Jabber客戶端軟體的用戶帳戶的特權在目標系統上執行任意指令。 |
CVE-2020-27133
|
| cisco |
jabber |
1 |
Cisco Jabber 存在輸入驗證錯誤漏洞,該漏洞源於軟體對郵件?容驗證不正確引起的。
攻擊者可以通過向目標系統發送特製訊息來利用此漏洞。 成功的利用可能使攻擊者使應用程式將敏感的身份驗證訊息返回給另一個系統,可能用於進一步的攻擊。 |
CVE-2020-27132
|
| cisco |
jabber |
1 |
Cisco
Jabber存在安全漏洞,攻擊者可利用該漏洞在底層操作系統(OS)上以更高的特權執行任意程式或獲取敏感資訊。 |
CVE-2020-27127
|
| ibm |
aix |
1 |
IBM AIX
存在授權問題漏洞,該漏洞允許本地用戶利用該漏洞ksu用戶命令可獲得root權限。以下產品及版本受到影響:7.1, 7.2, VIOS 3.1。 |
CVE-2020-4829
|
| linux |
linux_kernel |
1 |
Linux kernel through 5.9.13
存在安全漏洞,該漏洞源於tty子系統中發現了一個鎖定不一致問題。驅動tty tty io.c和驅動tty tty
jobctrl.c可能允許對TIOCGSID,即CID-c8bcd9c5be24進行免讀攻擊。 |
CVE-2020-29660
|
| linux |
linux_kernel |
1 |
Linux kernel through 5.9.13
存在安全漏洞,該漏洞源於子系統中發現了一個鎖定問題。驅動tty tty
jobctrl.c允許使用後免費攻擊TIOCSPGRP,又名CID-54ffccbf053b。 |
CVE-2020-29661
|
| microsoft |
365_apps |
1 |
名為“ Microsoft Excel遠端執行程式碼漏洞”。 |
CVE-2020-17125
|
| microsoft |
365_apps |
1 |
名為“ Microsoft Excel遠端執行程式碼漏洞”。 |
CVE-2020-17128
|
| microsoft |
365_apps |
1 |
名為“ Microsoft Excel遠端執行程式碼漏洞”。 |
CVE-2020-17129
|
| microsoft |
365_apps |
1 |
名為“ Microsoft Excel遠端執行程式碼漏洞”。 |
CVE-2020-17123
|
| microsoft |
365_apps |
1 |
名為“ Microsoft PowerPoint遠端執行程式碼漏洞”。 |
CVE-2020-17124
|
| microsoft |
c_sdk_for_azure_iot |
1 |
名為“Azure SDK用於 C 安全功能繞過漏洞”。 |
CVE-2020-17002
|
| microsoft |
excel |
1 |
名為“ Microsoft Excel遠端執行程式碼漏洞”。 |
CVE-2020-17127
|
| microsoft |
exchange_server |
1 |
名為“ Microsoft Exchange遠端執行程式碼漏洞”。 |
CVE-2020-17117
|
| microsoft |
office |
1 |
名為“ Microsoft Excel遠端執行程式碼漏洞”。 |
CVE-2020-17122
|
| microsoft |
sharepoint_foundation |
1 |
名為“ Microsoft SharePoint遠端執行程式碼漏洞”。 |
CVE-2020-17118
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16964
|
| microsoft |
windows_10 |
1 |
名為“ Windows網絡連接服務權限升級漏洞”。 |
CVE-2020-17092
|
| microsoft |
windows_10 |
1 |
名為“ Windows雲端文件迷你篩選器驅動程序權限升級漏洞”。 |
CVE-2020-17103
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16963
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16958
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16959
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16961
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16962
|
| microsoft |
windows_10 |
1 |
名為“ Hyper-V遠端執行程式碼漏洞”。 |
CVE-2020-17095
|
| microsoft |
windows_10 |
1 |
名為“ Windows NTFS遠端執行程式碼漏洞”。 |
CVE-2020-17096
|
| microsoft |
windows_10 |
1 |
名為“ Windows備份引擎權限升級漏洞”。 |
CVE-2020-16960
|
| mozilla |
firefox |
1 |
Firefox 83.0之前版本存在緩衝區錯誤漏洞,攻擊者可利用該漏洞?執行任意程式碼。 |
CVE-2020-26969
|
| mozilla |
firefox |
1 |
Mozilla Firefox
存在安全漏洞,該漏洞源於如果在nsTArray上呼叫Compact()方法,則可以在不更新其他指標的情?下重新分配該陣列,從而導致潛在的使用已釋
放記憶體和可脅迫的崩壞。 |
CVE-2020-26960
|
| mozilla |
firefox |
1 |
Firefox
存在程式碼問題漏洞,攻擊者可利用該漏洞通過Firefox的MCallGetProperty強制使用已釋放記憶體,以觸發阻斷服務攻擊,並可能運行任
意程式碼。 |
CVE-2020-26950
|
| mozilla |
firefox |
1 |
Mozilla
Firefox可能允許遠端攻擊者在JIT編譯過程中對內聯函數進行不正確操作而導致系統上的任意程式碼執行。通過說服受害者訪問特製網站,遠端攻擊者可
以使用未知攻擊媒介利用此漏洞來觸發記憶體損壞並在易受攻擊的系統上執行任意程式碼,或者導致阻斷服務攻擊。 |
CVE-2020-26952
|
| mozilla |
firefox |
1 |
FireFox 存在緩衝區錯誤漏洞,攻擊者可利用該漏洞運行任意程式碼。 |
CVE-2020-26968
|
| mozilla |
thunderbird |
1 |
Thunderbird
存在安全漏洞,攻擊者可利用該漏洞可以通過SMTP伺服器響應程式碼觸發緩衝區溢出,以觸發阻斷服務攻擊,並可能運行程式碼。 |
CVE-2020-26970
|