登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第14期(2010年04月05日-2010年04月11日)

2011-11-24 16:11:49


本周漏洞基本情况

本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集和整理信息安全漏洞44个,其中高危漏洞11个、中危漏洞12个、低危漏洞21个。上述漏洞中,可利用来实施远程攻击的漏洞有31个。经检测发现,网上已经出现了针对“Windows平台下的Apple iTunes存在本地权限提升漏洞”、“Uiga Proxy 存在安全漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为30个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

本周,CNVD整理和发布以下重要安全漏洞信息。
1、Windows平台下的Apple iTunes存在本地权限提升漏洞
Apple iTunes是一款流行的媒体播放器。Windows平台下的Apple iTunes在安装过程中会在%ALLUSERSPROFILE%\Application Data\路径的目录上安装并执行部分文件。由于默认允许任意用户向此路径写入文件,恶意用户可利用漏洞在安装前后创建带有特定文件名的恶意文件,并以SYSTEM权限执行。目前厂商已经发布了升级补丁以修复这个安全问题,请使用该软件的用户及时到厂商的主页下载。
参考链接:http://secunia.com/advisories/39135/
2、Uiga Proxy存在安全漏洞
Uiga Proxy是一款允许用户在防火墙/代理服务器后方访问受限WEB站点的代理服务器。Uiga Proxy在给'include/template.php'脚本传递"content"参数时,未进行正确校验。远程攻击者可以利用漏洞,导致敏感信息泄漏或以WEB权限执行任意PHP代码。目前厂商尚未提供解决方案。
参考链接:http://secunia.com/advisories/39313/
3、Mozilla Firefox存在多个安全漏洞
Mozilla Firefox是一款开放源代码的网页浏览器。其存在的多个安全漏洞可允许远程攻击者以应用程序权限执行任意指令。具体漏洞包括:Mozilla Firefox DOM节点移动释放后使用漏洞、Firefox window.navigator.plugins对象悬空指针任意代码执行漏洞、Mozilla Firefox nsTreeSelection EventListener任意代码执行漏洞、Mozilla Firefox nsTreeContentView悬空指针任意代码执行漏洞、Mozilla Firefox图形SRC重定向mailto: URL启动email编辑器漏洞、Mozilla Firefox XMLHttpRequestSpy任意代码执行漏洞、Mozilla Firefox强制URL拖放特权提升漏洞、Mozilla Firefox多个内存破坏漏洞、Mozilla Firefox XML解析绕过安全漏洞。供应商已经发布了安全公告及补丁,请用户及时下载更新。
参考链接:http://www.mozilla.org/security/announce/2010/mfsa2010-17.html
4、Linux Kernel存在多个设计错误漏洞
Linux是一款开放源代码的操作系统。Linux Kernel存在多个设计错误漏洞,允许本地攻击者利用漏洞使系统崩溃。具体漏洞包括:Linux Kernel "cifs_create()"空指针引用漏洞、Linux Kernel GFS/GFS2本地拒绝服务漏洞、Linux Kernel NFS启动加载'symlinks'拒绝服务漏洞、Linux Kernel 'l2cap_config_rsp()'远程拒绝服务漏洞、Linux Kernel蓝牙sysfs文件本地特权提升漏洞、Linux Kernel nfs_wait_on_request函数本地拒绝漏洞、Linux Kernel net/ipv4/tcp_input.c释放后使用漏洞、Linux Kernel 'tipc'模块本地拒绝服务漏洞。目前厂商尚未发布升级补丁,请用户随时关注厂商的主页以获取最新版本。
参考链接:https://bugzilla.redhat.com/duplicates.cgi
5、Zip Unzip存在边界条件错误漏洞
Zip Unzip是一款免费的解压缩工具。Zip Unzip处理压缩文档中包含超长路径的文件时存在边界错误,攻击者可通过诱使用户解析其特殊构建的ZIP文档,来触发基于栈的缓冲区溢出。成功利用漏洞可以以应用程序权限执行任意指令。目前厂商尚未发布升级补丁,请用户随时关注厂商的主页以获取最新版本。
参考链接:http://secunia.com/advisories/39280/
小结:本周CNVD所整理的漏洞信息中,Apple媒体播放器、Uiga Proxy代理服务器、Mozilla Firefox浏览器、Linux操作系统和Zip Unzip解压缩工具等均出现了严重漏洞。其中漏洞1、2网上已经出现零日攻击代码,严重影响了我国网民的上网安全,请广大用户注意采取安全防范措施,尽快下载相关补丁程序。



本周重要漏洞修补信息

本周, CNVD整理和发布以下重要安全修补信息。
1、libpng 多个漏洞安全补丁包
4月11日,Debian发布安全公告(DSA-2032-1)及相应补丁,修复了Libpng png_decompress_chunk()函数拒绝服务漏洞和Libpng库1位隔行图形信息泄露漏洞。
补丁下载链接:http://www.debian.org/security/2010/dsa-2032

2、MIT Kerberos kadmind server_stubs.c远程拒绝服务漏洞补丁包
4月11日,Debian发布安全公告(DSA-2031-1)及相应补丁,修复了MIT Kerberos kadmind server_stubs.c远程拒绝服务漏洞。
补丁下载链接:http://www.debian.org/security/2010/dsa-2031

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论