登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第8期(2010年02月22日-2010年02月28日)

2011-11-24 16:11:48


本周漏洞基本情况

 

本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(CNVD)本周共收集和整理信息安全漏洞29个,其中高危漏洞3个、中危漏洞6个、低危漏洞20个。上述漏洞中,可利用来实施远程攻击的漏洞有20个。经检测发现,网上已经出现了针对“IBM 多个产品登录页面存在跨站脚本漏洞”、“Linux Kernel TSB I-TLB装载本地特权提升漏洞”和“WebKit样式标签远程内存破坏漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为21个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

 

本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。
1、IBM多个产品登录页面存在跨站脚本漏洞
IBM多个产品使用的WEB内容管理登录页面存在跨站脚本漏洞,攻击者可以通过钓鱼邮件等方式把URL发送给用户,用户解析此链接就可能执行注入脚本。攻击者成功利用该漏洞可劫持目标用户COOKIE会话,绕过安全验证获得用户敏感信息。目前IBM已经提供了补丁,请广大用户及时下载更新。
参考链接:http://www-01.ibm.com/support/docview.wss?uid=swg21421469
2、Linux Kernel 存在多个安全漏洞可能导致本地拒绝服务
Linux是一款开放源代码的操作系统。目前Linux Kernel存在多个安全漏洞,可能导致本地拒绝服务。具体漏洞包括:Linux Kernel hda-intel驱动“azx_position_ok()”拒绝服务漏洞、Linux Kernel RTO(重传超时)远程拒绝服务漏洞、Linux Kernel TSB I-TLB装载本地特权提升漏洞、Linux Kernel PI Futex非法指针应用本地拒绝服务漏洞。目前厂商已经提供了补丁,请广大用户及时下载更新。
参考链接: http://secunia.com/advisories/38718/
http://secunia.com/advisories/38594/
3、WebKit存在样式标签远程内存破坏漏洞
WebKit是一款开放源代码的web浏览器引擎。攻击者可以通过构建恶意WEB服务器,发送包含畸形超长字符串的CSS <style>标签给用户处理,进而可能导致用户应用程序崩溃。目前厂商尚未发布升级补丁,请用户随时关注厂商的主页以获取最新版本。
参考链接:http://www.securityfocus.com/bid/38398
4、Google Picasa JPEG图像处理整数溢出漏洞
Picasa是一款Google推出的图片管理工具。在处理JPEG文件时,PicasaPhotoViewer.exe存在整数溢出漏洞。攻击者可以通过构建特制的JPEG文件,诱使用户处理图片,便可能触发缓冲区溢出,最终导致攻击者可以应用程序权限执行任意指令。目前Google Picasa 3.6 Build 105.41已经修复了该漏洞,建议使用此工具的用户尽快下载使用。
参考链接:http://secunia.com/advisories/38435/
5、Adobe getPlus DLM存在未授权安装漏洞
Adobe GetPlus DLM是一款用于下载安装Adobe软件的工具。Adobe GetPlus DLM存在一个严重的安全漏洞,攻击者可以利用此漏洞在用户使用下载管理器时读取和下载攻击者存放的恶意程序列表及代码,进而控制用户主机。目前Adobe已经发布补丁修补了该漏洞,请广大用户及时下载补丁更新。
参考链接:http://www.adobe.com/support/security/bulletins/apsb10-08.html
小结:上述CNVD所整理的漏洞信息中,操作系统、web浏览器、Adobe等均出现严重漏洞,影响了广大网民的上网安全。目前,除第3条漏洞厂商尚未提供相应的补丁程序外,其他漏洞信息均有修复方案,提醒广大用户注意采取安全防护措施,尽快下载相关补丁程序。



本周重要漏洞修补信息

 

本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全修补信息。
1、 Debian OpenOffice .org更新修复多个整数溢出和堆溢出漏洞
Debian发布了一个安全公告(DSA-1995-1)以及相应补丁,修复了多个文件的整数溢出和堆溢出漏洞。当用户受骗打开恶意的文档文件就可能触发这些溢出,导致主机拒绝服务或执行任意代码。
补丁下载链接:http://www.debian.org/security/2010/dsa-1995
2、Debian Xulrunner 修复多个漏洞补丁包
Debian发布了一个安全公告(DSA-1999-1)以及相应补丁,修复了Firefox SVG文档执行跨域脚本漏洞。建议用户尽快下载补丁更新。
补丁下载链接:http://www.debian.org/security/2010/dsa-1999

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论