2012年CNVD漏洞周报第7期(2012年02月13日-2012年02月19日)

本周漏洞基本情况

 

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞123个，其中高危漏洞66个、中危漏洞55个、低危漏洞2个。上述漏洞中，可利用来实施远程攻击的漏洞有115个。本周收录的漏洞中，已有106个漏洞由厂商提供了修补方案，建议用户及时下载补丁更新程序，避免遭受网络攻击。本周互联网上出现“Skype聊天日志本地信息泄露漏洞”、“jetVideo '.m3u'文件缓冲区溢出漏洞”等的零日攻击代码，请使用相关产品的用户注意加强防范。

 

本周重要漏洞信息

本周，CNVD整理和发布以下重要安全漏洞信息。

1、 Microsoft产品安全漏洞

2月14日，微软发布了2011年2月份的月度例行安全公告，共包含9项更新，共修复了涉及Microsoft Windows、Internet Explorer、.NET Framework、Silverlight、Office、SharePoint等多个产品存在的21个安全漏洞。利用上述漏洞，攻击者可以远程执行任意代码或提升特权。CNVD收录的相关漏洞包括：Microsoft Internet Explorer远程代码执行漏洞（CNVD-2012-09892）、Microsoft Internet Explorer VML处理远程代码执行漏洞（CNVD-2012-09893）、Microsoft Windows Kernel GDI访问冲突本地特权提升漏洞、Microsoft Internet Explorer跨域信息泄露漏洞（CNVD-2012-09885）、Microsoft Internet Explorer空字节泄露漏洞、Microsoft Silverlight和.NET Framework堆破坏远程代码执行漏洞、Microsoft Silverlight和.NET Framework未管理对象远程代码执行漏洞、Microsoft Windows C运行时库缓冲区溢出漏洞。上述漏洞的综合评级均为“高危”。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39458

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39459

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39488

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39451

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39455

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39568

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39588

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39708

2、 Adobe Shockwave Player产品安全漏洞

Adobe Shockwave Player是一款用于播放使用Director Shockwave Studio制作的网页的插件程序。本周，Adobe Shockwave Player软件被披露存在多个安全漏洞。远程攻击者可以利用漏洞以应用程序上下文执行任意代码。CNVD收录的相关漏洞包括：Adobe ShockwavePlayer远程内存破坏漏洞（CNVD-2012-09890、CNVD-2012-09888、CNVD-2012-09887、CNVD-2012-09879、CNVD-2012-09886、CNVD-2012-09884、CNVD-2012-09882、CNVD-2012-09880）。上述漏洞的综合评级均为“高危”。 目前，Adobe已经发布上述漏洞的修补程序，CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39456

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39454

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39453

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39431

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39452

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39450

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39448

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39432

3、 Oracle产品安全漏洞

Oracle Sun Java Runtime Environment是一款为JAVA应用程序提供运行环境的应用程序。本周，上述Oracle产品被披露存在多个安全漏洞，攻击者可以利用漏洞以应用程序上下文执行任意代码。CNVD收录的相关漏洞包括：Oracle Java SE远程栈溢出漏洞、Oracle Java SE远程任意代码执行漏洞（CNVD-2012-09927、CNVD-2012-09930、CNVD-2012-09931、CNVD-2012-09933、CNVD-2012-09934、CNVD-2012-09935、CNVD-2012-09936）。其中，除“Oracle Java SE远程栈溢出漏洞”外，其余漏洞的综合评级均为“高危”。目前，Oracle已经发布上述漏洞的修补程序，CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39797

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39798

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39801

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39802

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39804

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39805

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39806

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39807

4、 Advantech产品安全漏洞

Advantech/BroadWin SCADA WebAccess是一款完全基于浏览器的人机界面(HMI)和监控及数据采集(SCADA)软件，广泛应用于国内外工业行业企业。本周，Advantech WebAccess被披露存在多个安全漏洞，远程攻击者可以利用漏洞访问修改数据、执行任意代码或进行拒绝服务攻击。CNVD收录的相关漏洞包括：Advantech WebAccess SQL注入漏洞（CNVD-2012-09951、CNVD-2012-09944、CNVD-2012-09958）、Advantech WebAccess缓冲区溢出漏洞（CNVD-2012-09947、CNVD-2012-09949、CNVD-2012-09955）、Advantech WebAccess文件操作漏洞（CNVD-2012-09948）、Advantech WebAccess格式字符串漏洞（CNVD-2012-09960）。上述漏洞的综合评级均为 “高危”。 目前，厂商已经发布上述漏洞的修补程序，CNVD提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39873

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39889

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39851

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39869

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39877

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39871

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39870

                    http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39891

5、 Skype聊天日志本地信息泄露漏洞

Skype是一款流行的P2P VoIP软件，用于即时语音通讯服务。本周，Skype被披露存在一个信息泄露漏洞。由于VoIP对所有聊天消息记录以明文方式存到本地sqlite3 DB(文件main.db，表Messages)中，攻击者可以利用漏洞获得敏感信息。目前，互联网上已经出现针对该漏洞的攻击代码，主要影响Skype 5.x版本。但厂商尚未发布上述漏洞的修补程序，CNVD提醒广大用户随时关注厂商主页以获取最新版本。

参考链接：http://www.cnvd.org.cn/sites/main/preview/ldgg_preview.htm?tid=39368

更多高危漏洞如表3所示，详细信息可根据CNVD编号，在CNVD官网进行查询。

参考链接: http://www.cnvd.org.cn/publish/main/52/index.html

表3 部分高危漏洞列表

小结：本周，微软发布了2011年2月份的月度例行安全公告，共包含9项更新，共修复了涉及Microsoft Windows、Internet Explorer、.NET Framework、Silverlight、Office、SharePoint等多个产品存在的21个安全漏洞。利用上述漏洞，攻击者可以远程执行任意代码或提升特权。Adobe，Oracle和Advantech的应用产品被披露存在多个安全漏洞，影响涉及广大终端用户以及工业行业用户。此外，Skype聊天软件零日漏洞、Cisco网络设备的高危漏洞需引起相关用户注意，加强防范。

 

本周重要漏洞修补信息

 

CNVD整理和发布以下重要安全修补信息。

1、Cisco发布升级程序，修补多款产品安全漏洞  

本周，Cisco发布升级程序，修补了IronPort Encryption Appliance和Nexus存在的安全漏洞，避免远程攻击者可以利用漏洞进行跨站脚本和拒绝服务攻击。CNVD已收录相关补丁，请广大用户及时下载更新，避免引发漏洞相关的安全事件。

补丁下载链接：http://www.cnvd.org.cn/sites/main/preview/bdgg_preview.htm?tid=10078

                            http://www.cnvd.org.cn/sites/main/preview/bdgg_preview.htm?tid=10079