登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第9期(2010年03月01日-2010年03月07日)

2011-11-24 16:11:48


本周漏洞基本情况

 

本周信息安全漏洞威胁整体评价级别为低。
国家信息安全漏洞共享平台(CNVD)本周共收集和整理信息安全漏洞39个,其中高危漏洞3个、中危漏洞6个、低危漏洞30个。上述漏洞中,可利用来实施远程攻击的漏洞有35个。经检测发现,网上已经出现了针对“Microsoft Internet Explorer 'winhlp32.exe' 'MsgBox()'远程代码执行漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为26个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。
1、Microsoft Internet Explorer'winhlp32.exe' 'MsgBox()'远程代码执行漏洞
Microsoft Internet Explorer是微软公司推出的一款WEB浏览器,其“帮助”中的VBScript存在远程代码执行漏洞,VBScript中的MsgBox函数允许通过构造恶意的Windows Help文件来执行任意程序。攻击者可以在网站上构建包含特制对话框的页面等待用户访问,并诱使访问该页面的用户按下F1键,来调用该页面嵌入的.hlp文件,实现以IE进程的权限执行恶意代码的目的。可能的恶意行为包括:安装软件,察看、修改或删除数据,创建帐户等。目前微软尚未发布升级补丁,请用户随时关注厂商的主页以获取最新版本。
参考链接:http://www.microsoft.com/technet/security/advisory/981169.mspx
2、IBM Lotus Domino Web Access存在多个安全漏洞
IBM Lotus Domino Web Access是Lotus Domino服务器基于web的消息和协作界面。其存在的多个安全漏洞,如:"Get Filter"和"Referer Check" 存在输入验证错误、"Ultralite"相关存在未明错误,可允许攻击者进行跨站脚本、跨站请求伪造等攻击。目前,IBM已经发布Domino 8.0.2FP4 Hotfix 229.281修补了漏洞,建议使用此工具的用户尽快下载使用。
参考链接:http://www-01.ibm.com/support/docview.wss?uid=swg27018109
3、Cisco Unified Communications Manager 存在多个拒绝服务漏洞
Cisco Unified Communications Manager是Cisco IP电话解决方案中的呼叫处理组件。远程攻击者可利用其存在的漏洞进行拒绝服务攻击,中断语音服务。具体漏洞包括:Cisco Unified Communications Manager CTI管理器拒绝服务漏洞、Cisco Unified Communications Manager SCCP拒绝服务漏洞、Cisco Unified Communications Manager SIP消息拒绝服务漏洞。使用此软件的用户可参考如下安全公告获得补丁信息。
参考链接:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b924.shtml
4、Cisco Digital Media Manager存在多个安全漏洞
Cisco Digital Media Manager是一款数字媒体管理器,用于管理和发布数字媒体。其存在的多个安全漏洞,可能允许攻击者发起远程攻击。具体漏洞包括:Cisco Digital Media Manager远程特权提升漏洞、Cisco Digital Media Manager信息泄漏漏洞、Cisco Digital Media Manager默认凭据验证绕过漏洞。使用此软件的用户可参考如下安全公告获得补丁信息。
参考链接:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b923.shtml
5、Windows Media Player存在缓冲区溢出漏洞
Windows Media Player是微软公司出品的一款媒体播放器。Windows Media Player打开特制的.mpg音频文件就可能触发缓冲区溢出,产生计算中将零用作除数的错误,从而使应用程序崩溃。目前微软尚未发布升级补丁,请用户随时关注厂商的主页以获取最新版本。
参考链接:http://www.exploit-db.com/download/11531


小结:上述CNVD所整理的漏洞信息中浏览器、服务器、播放器等均出现严重漏洞,影响了我国网民的上网安全。目前,网上已经出现针对第1条、第3条和第4条漏洞的零日攻击代码,请广大用户注意采取安全防范措施,尽快下载相关补丁程序。

 



本周重要漏洞修补信息

 

本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全修补信息。
1、Adobe Flash Player插件重要安全漏洞补丁包
RedHat发布安全公告(RHSA-2010:0102-01)以及相应补丁,修复了使用Flash Player插件的浏览器打开内嵌有畸形Shockwave Flash对象的恶意网页就会导致浏览器崩溃的漏洞。
补丁下载链接:http://get.adobe.com/flashplayer/
2、Cisco Unified Communications Manager拒绝服务漏洞补丁包

Cisco发布安全公告(cisco-sa-20100303-cucm)以及相应补丁,修复了Cisco Unified Communications Manager多个拒绝服务漏洞。
补丁下载链接:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b924.shtml

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论