登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第23期(2010年06月07日-2010年06月20日)

2011-11-24 16:11:49


本周漏洞基本情况

2010年6月7日至2010年6月20日,信息安全漏洞威胁整体评价级别为高。

国家信息安全漏洞共享平台(以下简称CNVD)两周内共收集和整理信息安全漏洞75个,其中高危漏洞8个、中危漏洞17个、低危漏洞50个。上述漏洞中,可利用来实施远程攻击的漏洞有70个。经检测发现,网上已经出现针对“Microsoft‘帮助和支持中心’应用程序漏洞”、“Linksys WAP54Gv3无线路由器安全绕过漏洞”、“Adobe Flash Player、Reader 和 Acrobat远程代码执行漏洞(CVE-2010-1297)”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为43个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

本期,CNVD整理和发布以下重要安全漏洞信息。

1、Microsoft‘帮助和支持中心’应用程序存在漏洞可能允许远程代码执行

微软发布安全公告(2219475)称,Windows XP 和 Windows Server 2003“帮助和支持中心”(helpctr.exe)存在一个安全漏洞,如果攻击者诱使用户打开经特殊构造的恶意页面,便可能远程执行恶意代码。微软表示,目前该漏洞的相关信息和PoC代码已经被公开,并收到局部小范围的利用此漏洞进行攻击的报告。公开的PoC代码在Windows Server 2003并不能导致执行代码。目前用户可以采用微软提供的临时修补方案(Microsoft Fix it 50459)或删除注册表中HCP协议注册,来避免受到漏洞威胁。
参考链接: http://www.microsoft.com/technet/security/advisory/2219475.mspx

2、Apple Webkit 存在多个安全漏洞

Apple Safari是一款流行的WEB浏览器,WebKit是Safari浏览器使用的内核。WebKit存在多个安全漏洞,允许恶意用户利用漏洞获得系统控制权限或未授权获取应用程序执行权限。具体漏洞信息为:WebKit拖拽或粘贴跨站越脚本漏洞、WebKit 'Node.normalize'方法远程代码执行漏洞、Webkit HTML documentFragment跨站脚本漏洞、Apple Webkit SVG RadialGradiant Run-in远程代码执行漏洞、Apple Webkit ConditionEventListener远程代码执行漏洞、Apple Webkit ProcessInstruction远程代码执行漏洞、Apple Webkit First-Letter远程代码执行漏洞等。目前苹果公司已经发布升级补丁修复了这些漏洞,建议相关用户尽快下载使用。
参考链接:http://support.apple.com/kb/HT4196

3、Wireshark 0.8.20至1.2.8版本存在多个安全漏洞

Wireshark(前称Ethereal)是一个网络封包分析软件。Wireshark存在多个安全漏洞,允许恶意用户对应用程序进行拒绝服务攻击。具体漏洞信息为:SMB解析器存在空指针应用错误、ASN.1 BER解析器存在栈溢出错误、SMB PIPE解析器存在空指针应用错误、SigComp通用解压缩虚拟机存在无限循环错误、SigComp通用解压缩虚拟机存在单字节溢出错误。目前Wireshark 1.2.9和Wireshark 1.0.14版本已经修复了上述漏洞,建议相关用户尽快下载使用。
参考链接:http://www.wireshark.org/security/wnpa-sec-2010-05.html

4、Adobe Flash Player 10.0.45.2/AIR 1.5.3.9130 存在多个安全漏洞

Adobe发布安全公告(APSB10-14)称,Adobe Flash Player 10.0.45.2及之前版本、Adobe AIR 1.5.3.9130及之前版本存在32个安全漏洞,其中包括远程代码执行“0 day”漏洞(CVE-2010-1297),远程攻击者利用这些漏洞可导致应用程序崩溃,并可能获得系统控制权限。目前厂商已经发布升级补丁修复了这些漏洞,建议相关用户尽快下载使用。
参考链接:http://www.adobe.com/support/security/bulletins/apsb10-14.html

5、Ziproxy PNG图像处理漏洞

Ziproxy是一款具备转发、压缩功能的HTTP代理服务器。它可以将页面图像转换到低质量JPEG文件或JPEG 2000,也可以压缩HTML和其他文字样的数据。Ziproxy处理部分PNG图像时存在错误,攻击者诱使用户通过Ziproxy载入经特殊构建的PNG图像,可触发基于堆的缓冲区溢出。目前Ziproxy 3.1.1已经修复了该漏洞,建议相关用户尽快下载使用。
参考链接:http://secunia.com/advisories/40156/

小结:上述CNVD所整理的漏洞信息中,微软“帮助和支持中心”漏洞的“0 day”攻击代码已经被公开并且互联网上已经有攻击行为发生。Adobe Flash Player/Adobe AIR存在的32个安全漏洞,包括远程代码执行“0 day”漏洞(CVE-2010-1297)对用户威胁程度较高。Wireshark、Apple Webkit、Ziproxy等存在的漏洞,也对国内网民的上网安全构成一定影响。提醒广大用户尽快下载相关补丁或采取相关措施,避免遭受漏洞影响。



本周重要漏洞修补信息

本期, CNVD整理和发布以下重要安全修补信息。

1、微软发布六月安全公告

微软六月安全更新发布了10个安全公告,用来修复Windows操作系统以及IE、Office等软件中的34个安全漏洞。此次发布的10个公告中,有3个公告的安全级别为“严重”级别,其中2个用于修复包括Windows7在内的操作系统漏洞,另1个用于修复IE浏览器漏洞。其余7个安全公告的安全级别则为“重要”,仅次于“严重”级别,这些补丁主要用于修复包括Mac版Excel2004、2008在内的Office和Sharepoint等的安全漏洞。
补丁下载链接:http://www.microsoft.com/china/technet/security/current.mspx

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论