国家计算机网络入侵防范中心安全漏洞周报:2011年11月14日至2011年11月20日,安全漏洞共计有45个,其中高危漏洞19个,中等威胁漏洞22个,低威胁漏洞4个,安全漏洞总量与前一周相比基本持平。其中对我国用户影响较大安全漏洞有:Adobe公司产品Adobe Flash Player及Adobe AIR的多个安全漏洞,包括多个任意代码执行漏洞、缓冲区溢出漏洞、安全绕过漏洞等;Apple公司公布了iOS系统的一个任意代码执行漏洞;DELL公司公布了DELL KACE K2000 System Deployment Appliance的一个代码注入漏洞;HP公司公布了HP StorageWorks P4000 Virtual SAN Appliance的一个堆缓冲区溢出漏洞。这些安全漏洞如果被攻击者利用可能执行任意代码、任意命令或引起拒绝服务,响信息的机密性、完整性、可用性,威胁用户隐私安全。
在本周安全漏洞中,最值得关注的是Adobe公司公布了Adobe Flash Player及Adobe AIR存在的多个安全漏洞,其中包括多个任意代码执行漏洞、缓冲区溢出漏洞和安全绕过漏洞。运行于Windows, Mac OS X, Linux, and Solaris等操作系统下的Adobe Flash Player 10.3.183.11 之前版本、11.1.102.55 之前的11.x版本,以及运行于Android平台的Adobe Flash Player 11.1.102.59之前版本,及 Adobe AIR 3.1.0.4880之前版本,允许攻击者通过执行任意代码或引起拒绝服务。Adobe公司已针对这些漏洞发布安全公告及更新补丁,建议用户做好安全防护,提高系统安全性,及时更新,防止黑客攻击
此外,Apple公司公布了iOS系统的一个任意代码执行漏洞。iOS系统5.0.1之前版本的 CoreGraphics的 FreeType库允许远程攻击者通过在一个文件中构造的字体来执行任意代码或引起拒绝服务(内存破坏)。 DELL公司也公布了Dell KACE K2000 System Deployment Appliance 的一个代码注入漏洞,允许远程攻击者通过利用数据库的写入操作来执行任意命令。还有HP公司公布的HP StorageWorks P4000 Virtual SAN Appliance 的HP SAN/iQ 9.5之前版本的hydra.exe文件存在的一个基于堆的缓冲区溢出漏洞,允许远程攻击者通过构造的登录请求执行任意代码。以上这些漏洞被攻击者成功利用会影响信息的机密性、完整性、可用性。目前针对上述漏洞各公司均已在公告中发布更新补丁,建议受影响用户及时更新软件版本,防范黑客攻击。
为了保护用户计算机与系统安全,国家计算机网络入侵防范中心建议用户及时更新补丁程序,补丁可以从软件厂商官方下载,不轻易打开未知网站和来路不明的文件,安装杀毒软件并将病毒库升级到最新。
国家计算机网络入侵防范中心安全漏洞周报:2011年11月14日至2011年11月20日,安全漏洞共计有45个,其中高危漏洞19个,中等威胁漏洞22个,低威胁漏洞4个,安全漏洞总量与前一周相比基本持平。其中对我国用户影响较大安全漏洞有:Adobe公司产品Adobe Flash Player及Adobe AIR的多个安全漏洞,包括多个任意代码执行漏洞、缓冲区溢出漏洞、安全绕过漏洞等;Apple公司公布了iOS系统的一个任意代码执行漏洞;DELL公司公布了DELL KACE K2000 System Deployment Appliance的一个代码注入漏洞;HP公司公布了HP StorageWorks P4000 Virtual SAN Appliance的一个堆缓冲区溢出漏洞。这些安全漏洞如果被攻击者利用可能执行任意代码、任意命令或引起拒绝服务,响信息的机密性、完整性、可用性,威胁用户隐私安全。
在本周安全漏洞中,最值得关注的是Adobe公司公布了Adobe Flash Player及Adobe AIR存在的多个安全漏洞,其中包括多个任意代码执行漏洞、缓冲区溢出漏洞和安全绕过漏洞。运行于Windows, Mac OS X, Linux, and Solaris等操作系统下的Adobe Flash Player 10.3.183.11 之前版本、11.1.102.55 之前的11.x版本,以及运行于Android平台的Adobe Flash Player 11.1.102.59之前版本,及 Adobe AIR 3.1.0.4880之前版本,允许攻击者通过执行任意代码或引起拒绝服务。Adobe公司已针对这些漏洞发布安全公告及更新补丁,建议用户做好安全防护,提高系统安全性,及时更新,防止黑客攻击
此外,Apple公司公布了iOS系统的一个任意代码执行漏洞。iOS系统5.0.1之前版本的 CoreGraphics的 FreeType库允许远程攻击者通过在一个文件中构造的字体来执行任意代码或引起拒绝服务(内存破坏)。 DELL公司也公布了Dell KACE K2000 System Deployment Appliance 的一个代码注入漏洞,允许远程攻击者通过利用数据库的写入操作来执行任意命令。还有HP公司公布的HP StorageWorks P4000 Virtual SAN Appliance 的HP SAN/iQ 9.5之前版本的hydra.exe文件存在的一个基于堆的缓冲区溢出漏洞,允许远程攻击者通过构造的登录请求执行任意代码。以上这些漏洞被攻击者成功利用会影响信息的机密性、完整性、可用性。目前针对上述漏洞各公司均已在公告中发布更新补丁,建议受影响用户及时更新软件版本,防范黑客攻击。
为了保护用户计算机与系统安全,国家计算机网络入侵防范中心建议用户及时更新补丁程序,补丁可以从软件厂商官方下载,不轻易打开未知网站和来路不明的文件,安装杀毒软件并将病毒库升级到最新。
