登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第10期(2010年03月08日-2010年03月14日)

2011-11-24 16:11:48


本周漏洞基本情况

本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集和整理信息安全漏洞49个,其中高危漏洞10个、中危漏洞7个、低危漏洞32个。上述漏洞中,可利用来实施远程攻击的漏洞有41个。经检测发现,网上已经出现了针对“Microsoft IE畸形对象操作内存破坏漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为37个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

本周, CNVD整理和发布以下重要安全漏洞信息。
1、Microsoft IE畸形对象操作内存破坏漏洞
Microsoft Internet Explorer是一款流行的WEB浏览器。Microsoft Internet Explorer用来支持WEB文件夹以及打印功能的Iepeers.dll组件存在一个相关对象释放后指针再使用的漏洞。如果用户访问经特殊构造的网页文件或是office文档时就可能触发该漏洞,成功的利用漏洞可能会使攻击者以当前用户的权限执行任意命令。目前微软尚未发布升级补丁,请用户随时关注厂商的主页以便及时获取补丁更新。
参考链接:http://www.microsoft.com/technet/security/advisory/981374.mspx
2、Microsoft Excel存在多个安全漏洞
Microsoft Excel是一款微软开发的电子表格处理程序。Microsoft Office Excel 存在多个安全漏洞,允许远程攻击者利用漏洞以应用程序权限执行任意指令。具体漏洞包括:Microsoft Excel FNGROUPNAME记录远程代码执行漏洞、Microsoft Excel MDXSET记录远程堆缓冲区溢出漏洞、Microsoft Excel MDXTUPLE记录远程堆缓冲区溢出漏洞、Microsoft Excel工作表对象类型混乱远程代码执行漏洞、Microsoft Excel文档解析远程代码执行漏洞、Microsoft Excel XLSX文件解析远程代码执行漏洞、Microsoft Excel DbOrParamQry记录远程代码执行漏洞。目前使用此软件的用户可参考如下链接获得补丁信息。
参考链接:http://www.microsoft.com/technet/security/bulletin/ms10-017.mspx?pf=true

3、Microsoft Windows Movie Maker/Producer '.mswmm'缓冲区溢出漏洞
Microsoft Windows Movie Maker是一款简易非线性编辑软件。Microsoft Windows Produce是一款具有视频和音频录制功能的应用组件。Windows Movie Maker/Microsoft Producer处理'.mswmm'文件时存在缓冲区溢出漏洞,远程攻击者可以利用漏洞以应用程序权限执行任意指令。目前使用此软件的用户可参考如下链接获得补丁信息。
参考链接:http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx?pf=true
4、Apple Safari存在多个安全漏洞
Apple Safari是一款流行的WEB浏览器。Apple Safari存在多个安全漏洞,可能允许远程攻击者利用漏洞使应用程序崩溃或执行任意代码。具体漏洞包括:Apple Safari BMP图像为初始化内存信息泄漏漏洞、Apple Safari配置绕过漏洞、Apple Safari整数溢出漏洞、Apple Safari ImageIO TIFF图像远程代码执行漏洞、Apple Safari ImageIO TIFF图像远程缓冲区溢出漏洞、Apple Safari URL处理任意代码执行漏洞、Apple Safari CSS处理任意代码执行漏洞、Apple Safari HTML对象元素处理远程代码执行漏洞、Apple Safari XML文档解析远程代码执行漏洞、Apple Safari HTML元素解析远程代码执行漏洞、Apple Safari嵌套标签解析远程代码执行漏洞、Apple Safari跨源请求信息泄漏漏洞、Apple Safari HTML元素回调处理任意代码执行漏洞、Apple Safari CSS处理任意代码执行漏洞、Apple Safari HTML图像元素处理任意代码执行漏洞、Apple Safari TIFF图像为初始化内存信息泄漏漏洞。目前使用此软件的用户可参考如下链接获得补丁信息。
参考链接:http://www.apple.com/safari/download/
5、Skype URI处理"/Datapath"漏洞
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。Skype存在安全漏洞,允许攻击者绕过某些安全限制,获得敏感信息。具体漏洞情况:该软件处理传递给URI处理器的参数时存在错误,可通过注入指向恶意远程SMB共享的"/Datapath"参数,借助某些Skype设置(如安全策略或代理设置)获得敏感信息(如聊天日志和呼叫历史记录)。目前Skype 4.2.0.1.55 (v4.2 hotfix #1)已经修复该漏洞,建议使用该产品的用户尽快下载使用。
参考链接:http://www.skype.com/

小结:本周CNVD所整理的漏洞信息中,IE、MS Excel、Safari等流行软件均出现重大漏洞。其中IE漏洞已经出现零日攻击代码,严重威胁广大网民的上网安全,请广大用户注意采取安全防范措施。

 



本周重要漏洞修补信息

本周,CNVD整理和发布以下重要安全漏洞补丁信息。
1、Microsoft Office Excel重要安全漏洞补丁包

Microsoft发布了安全公告(MS10-017)及相关补丁,修复了Excel EntExU2记录内存破坏漏洞、Excel DbOrParamQry对象解析内存破坏漏洞等7个Microsoft Office Excel漏洞。
补丁下载链接:http://www.microsoft.com/technet/security/bulletin/ms10-017.mspx?pf=true
2、Windows Movie Maker安全漏洞补丁包
Microsoft发布了安全公告(MS10-016)及相关补丁,修复了Microsoft Movie Maker和Producer IsValidWMToolsStream()函数堆溢出漏洞。
补丁下载链接:
http://www.microsoft.com/technet/security/bulletin/ms10-016.mspx?pf=true

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论