登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第15期(2010年04月12日-2010年04月18日)

2011-11-24 16:11:49


本周漏洞基本情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集和整理信息安全漏洞87个,其中高危漏洞22个、中危漏洞15个、低危漏洞50个。上述漏洞中,可利用来实施远程攻击的漏洞有75个。经检测发现,网上已经出现了针对“MyBB set_common_header()邮件BCC头注入漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为79个漏洞提供了修补方案,本周微软、甲骨文及Adobe都发布了例行性安全更新,建议用户及时下载补丁更新,避免遭受网络攻击。



本周重要漏洞信息

本周,CNVD整理和发布以下重要安全漏洞信息。

1、微软发布四月份安全公告

4月13日,微软发布了4月份安全公告,共发布安全公告11个,其中5个为“严重”级,5个为“重要”级,1个为“中等”级。涉及的产品包括Windows、Office及Exchange等,此外,3月初曝出的“F1按键”0day漏洞也得到了修复。具体漏洞公告包括:SMB 客户端中的漏洞可能允许远程执行代码、VBScript 脚本引擎中的漏洞可能允许远程执行代码、Microsoft Office Publisher 中的漏洞可能允许远程执行代码、Microsoft Windows Media Services 中的漏洞可能允许远程执行代码、Microsoft MPEG Layer-3 编码解码器中的漏洞可能允许远程执行代码、Windows Media Player 中的漏洞可能允许远程执行代码、Microsoft Visio 中的漏洞可能允许远程执行代码、Windows 中的漏洞可能允许远程执行代码、Windows ISATAP 组件中的漏洞可能允许欺骗、Windows 内核中的漏洞可能允许特权提升、Microsoft Exchange和Windows SMTP服务中的漏洞可能允许拒绝服务。目前,Microsoft已提供补丁包,请广大用户及时下载更新。
参考链接:http://www.microsoft.com/china/technet/Security/bulletin/ms10-apr.mspx

2、VMWare存在多个安全漏洞

VMWare是一款虚拟PC软件,允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。VMWare存在多个安全漏洞,可能导致权限提升、执行任意代码等攻击。具体漏洞包括:VMWare Tools软件包本地权限提升漏洞和库引用代码执行漏洞、VMWare Remote Console插件格式串漏洞、VMWare产品vmware-vmx虚拟网络栈信息泄露漏洞、VMWare VIX API vmrun工具格式串漏洞、VMWare产品USB服务本地权限提升漏洞、VMware VMnc编解码器HexTile编码视频块多个堆溢出漏洞和解析堆溢出漏洞。目前,用户可参考如下供应商提供的安全公告获得补丁信息。
参考链接:http://lists.vmware.com/pipermail/security-announce/2010/000090.html

3、Oracle发布重要补丁更新公告

Oracle发布重要补丁更新公告修复了Oracle 的47个安全漏洞,并首次以甲骨文名义修补了Oracle Sun Product Suite的16个安全漏洞。涉及的Oracle的产品包括Oracle Database、 Fusion Middleware、Collaboration Suite、E-Business Suite、Oracle Transportation Management、 Agile - Engineering Data Management、PeopleSoft/JDE、Communications Industry Suite、Life Sciences Industry Suite、Retail Industry Suite等。这些产品中的漏洞可导致远程执行任意代码、信息泄漏或拒绝服务等严重后果。Oracle已经提供了补丁,用户可参考如下供应商提供的安全公告获得补丁信息。
参考链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html

4、Adobe Acrobat/ Reader存在多个安全漏洞

Adobe Acrobat/ Reader是目前非常流行的PDF文件阅读器。Adobe Reader和Acrobat存在多个安全漏洞,用户受骗打开畸形的PDF文档,其计算机系统就会遭受拒绝服务攻击或被入侵。具体漏洞包括:CoolType.dll库在解析CFF编码时存在堆溢出漏洞、X3D组件(3difr.x3d)处理DeviceRGB子类型流时存在内存破坏漏洞、前缀协议处理器中的错误可能允许执行任意代码、在解析嵌入式字体中某些表格时的索引计算错误可能导致代码执行、解析PDF文档中的BMP、GIF、JPEG和PNG数据时存在多个缓冲区溢出漏洞。目前,用户可参考如下安全公告获得补丁信息。
参考链接:http://www.adobe.com/support/security/bulletins/apsb10-09.html

小结:上述CNVD所整理的漏洞信息中,微软、Oracle、Adobe、VMWare等产品均出现了严重漏洞,影响了我国网民的上网安全。本周重要漏洞涉及的厂商均提供了修补方案,请广大用户尽快下载相关补丁程序。



本周重要漏洞修补信息

本周, CNVD整理和发布以下重要安全修补信息。

1、Adobe发布安全公告(apsb10-09)

4月14日,Adobe发布安全公告(apsb10-09)及相应补丁,修复了Adobe 存在的多个漏洞。远程攻击者可能利用漏洞以应用程序权限执行任意代码。为避免受到漏洞影响,建议使用该产品的用户尽快下载补丁更新。
补丁下载链接:http://www.adobe.com/support/security/bulletins/apsb10-09.html

2、Oracle发布重要补丁公告

4月13日,Oracle发布重要补丁公告,修复了Oracle 的47个漏洞,这些漏洞可被攻击者通过'HTTP'、'TCP'、'LDAP'等协议利用,漏洞涉及多个Oracle产品。目前厂商已经提供了补丁,请广大用户及时下载更新。
补丁下载链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论