安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day/Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、Anker Eufy Homebase中的漏洞可能导致代码执行、缓冲区溢出（10月12日）

Cisco Talos最近在Anker Eufy Homebase中发现了两个漏洞，该漏洞可能导致代码执行、缓冲区溢出。

详细信息

Eufy Homebase 2是与Anker的Eufy Smarthome生态系统配合使用的视频存储和网络网关。所有Eufy设备都连接到此云连接设备，并允许用户调整其他Eufy Smarthome设备上的设置。

CVE-2021-21940是Homebase的pushMuxer processRtspInfo功能中基于堆的缓冲区溢出漏洞。攻击者可以发送恶意数据包来触发此漏洞，从而导致基于堆的缓冲区溢出。

CVE-2021-21941是一个释放后使用漏洞，允许攻击者在目标设备上执行远程代码。与其他漏洞一样，攻击者需要发送一系列恶意数据包才能触发此漏洞利用。

参考链接：

https://blog.talosintelligence.com/2021/10/vuln-spotlight-anker-.html

二、Microsoft Excel中的UAF漏洞可能导致代码执行(10月14日)

Cisco Talos最近在Microsoft Office Excel 2019的ConditionalFormatting功能中发现了一个释放后使用漏洞，该漏洞可能允许攻击者在受害机器上执行任意代码。

详细信息

CVE-2021-40474可以被攻击者利用，如果他们诱骗目标打开一个特制的Excel文件。对于攻击者来说，特定的堆清理可以让他们完全控制这个“释放后使用”的漏洞，进而可以导致任意的代码执行。

Microsoft Office Excel 2019 x86 (version 2101, build 13628.20448)和Office Excel 365 x86 (version 2008, build 13127.21216)均已测试并确认受此漏洞影响，建议用户升级上述软件。

参考链接

https://blog.talosintelligence.com/2021/10/vuln-spotlight-excel-code-execution.html