登录  免费注册
当前位置:首页 > 周报 > 正文

2010年CNVD漏洞周报第24期(2010年06月21日-2010年06月27日)

2011-11-24 16:11:49


本周漏洞基本情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台(以下简称CNVD)本周共收集和整理信息安全漏洞54个,其中高危漏洞2个、中危漏洞7个、低危漏洞45个。上述漏洞全部可利用来实施远程攻击。经检测发现,网上已经出现针对“Spring Framework "classLoader"代码执行漏洞”和“Open&Compact Ftp Server验证绕过漏洞”的零日攻击代码,请广大用户注意做好防护措施。目前,相关厂商已经为29个漏洞提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。



本周重要漏洞信息

本周,CNVD整理和发布以下重要安全漏洞信息。

1、Mozilla Firefox/Thunderbird/SeaMonkey 存在多个远程安全漏洞

Mozilla Firefox/Thunderbird/SeaMonkey是Mozilla所发布的WEB浏览器和邮件新闻组客户端产品。本周Mozilla发布多个安全公告公开了上述产品的多个安全漏洞,攻击者可以利用这些漏洞进行拒绝服务、跨站脚本、任意代码执行等攻击。具体漏洞包括:Firefox nsCycleCollector::MarkRoots函数释放后使用漏洞、Firefox插件对象引用释放后使用漏洞、Firefox JavaScrip和浏览器引擎多个内存破坏漏洞、Firefox nsGenericDOMDataNode::SetTextInternal函数整数溢出漏洞、Firefox focus()函数跨域信息泄露漏洞、Firefox忽略Content-Disposition: attachment HTTP头跨站脚本漏洞。Mozilla已提供了漏洞修补方案,建议用户尽快进行修补工作。
参考链接:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01196

2、Enemy Territory: Quake Wars存在多个安全漏洞

Enemy Territory: Quake Wars(《雷神之战》)是一款多玩家第一人称射击游戏。Enemy Territory: Quake Wars存在多个安全漏洞,攻击者可利用漏洞实施拒绝服务攻击或以应用程序权限执行任意指令。具体漏洞信息为:"idGameLocal::GetGameStateObject()"函数存在设计错误,可导致任意代码执行;打印错误消息时存在边界错误漏洞,发送特殊构建的"pureServer"和"downloadInfo"命令给客户端便可触发此漏洞。目前厂商尚未发布补丁或更新程序,建议用户继续关注厂商主页以获得解决方案。
参考链接:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01174

3、IBM WebSphere Application Server存在多个安全漏洞

IBM WebSphere Application Server是一款商业性质的WEB应用服务程序。IBM WebSphere Application Server存在多个安全漏洞,攻击者可能利用漏洞泄露信息、进行拒绝服务攻击。具体漏洞包括:IBM WebSphere Application Server链接注入安全漏洞、IBM WebSphere Application Server 'default_create.log'信息泄漏漏洞、IBM WebSphere Application Server HTTP Channel拒绝服务漏洞等。目前IBM已经发布升级补丁修复了上述漏洞,建议用户尽快下载更新。
参考链接: http://www.cnvd.org.cn/vulnerability/CNVD-2010-01178
                      http://www.cnvd.org.cn/vulnerability/CNVD-2010-01207
                      http://www.cnvd.org.cn/vulnerability/CNVD-2010-01176

4、Apple iPhone\iPod touch存在多个安全漏洞

iPod touch是一款苹果公司发布的媒体播放器,iPhone是其发布的智能手机。Apple iPhone\iPod touch存在多个安全漏洞,允许恶意用户获得敏感信息或执行恶意代码。具体漏洞包括:WebKit处理history.replaceState时存在信息泄露漏洞、WebKit处理表格中的越界内存访问可能导致应用意外终止或执行任意代码、PEG图形处理中存在内存破坏漏洞、CFNetwork在处理URL时存在栈溢出漏洞、“设置”选项中存在设计错误,在连接到隐藏的无线网络时“设置”可能错误的显示其他无线网络等。目前厂商已经发布升级补丁修复了上述漏洞,建议用户尽快下载使用。
参考链接: http://www.cnvd.org.cn/vulnerability/CNVD-2010-01190
                      http://www.cnvd.org.cn/vulnerability/CNVD-2010-01191
                      http://www.cnvd.org.cn/vulnerability/CNVD-2010-01205

小结:本周,Mozilla Firefox/Thunderbird/SeaMonkey存在的多个严重漏洞和Enemy Territory: Quake Wars射击游戏等拥有大量用户的应用软件被披露存在曝出的多个高危漏洞,可允许攻击者进行拒绝服务攻击或以应用程序权限执行任意指令对用户信息安全以及用户主机安全构成严重威胁。此外,IBM WebSphere Application Server 和Apple iPhone\iPod touch等被披露存在多个安全漏洞,也对国内网民的上网安全构成一定影响。请广大用户注意防范,特别是一些采用IBM WebSphere应用服务程序的网站,需尽快采取防范或修补更新措施,避免遭受漏洞影响。



本周重要漏洞修补信息

本周, CNVD整理和发布以下重要安全修补信息。

1、RedHat安全公告(RHSA-2010:0500-01)

RedHat于6月22日发布安全公告(RHSA-2010:0500-01),修复影响Red Hat Enterprise Linux 4的多个Firefox漏洞。具体漏洞包括:Firefox focus()函数跨域信息泄露漏洞、Firefox nsGenericDOMDataNode::SetTextInternal函数整数溢出漏洞、Firefox JavaScrip和浏览器引擎多个内存破坏漏洞、Firefox插件对象引用释放后使用漏洞等。
补丁下载链接:http://www.cnvd.org.cn/patch/532

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论