国家计算机网络入侵防范中心4日发布安全漏洞周报说,2011年12月26日至2012年1月1日一周内共发现安全漏洞81个,其中高危漏洞44个,安全漏洞总量与前一周相比有所上升。
其中对我国用户影响较大的安全漏洞有:微软发布安全通告MS11-100公布了Microsoft.NET Framework的ASP.NET表单认证票据缓存漏洞;Microsoft Windows 7 Professional 64-bit版本被发现存在一个任意代码执行漏洞;QQPlayer被发现存在缓冲区溢出漏洞等。
国家计算机网络入侵防范中心常务副主任张玉清说,这些安全漏洞如果被攻击者利用可能执行任意代码、引起拒绝服务。影响信息的机密性、完整性、可用性,威胁用户隐私安全。
张玉清说,上周最值得关注的是微软公司发布的安全通告MS11-100公布的一个Microsoft.NET Framework的ASP.NET表单认证票据缓存漏洞。ASP.NET子系统的表单认证功能在滑动期限启用时不能正确处理缓存的内容,导致远程攻击者可以通过精心构造URL获得对任意用户账户的访问权限。目前微软还未发布针对该漏洞的更新补丁。
同时,Microsoft Windows 7 Professional 64-bit版本被发现存在一个任意代码执行漏洞。它的内核驱动程序中的win32k.sys,在使用Apple Safari时,允许远程攻击者通过一个IFRAME里的长度、高度属性即可引起拒绝服务或可能执行任意代码。微软还未针对该漏洞做出任何回应。
此外,可能对我国用户影响较大的漏洞还有QQPlayer被发现存在堆缓冲区溢出漏洞,允许远程攻击者通过在一个MOV文件中构造的PnSize值即可执行任意代码。腾讯还未发布响应的更新或公告。其他漏洞所影响的软件或系统在我国的使用较少,影响范围较小。建议用户做好安全防护,提高系统安全性,及时关注更新,防止黑客攻击。
更多阅读:
评论已关闭