国家计算机网络入侵防范中心安全漏洞周报：2011年11月28日至2011年12月04日，安全漏洞共计有53个，其中高危漏洞16个，中等威胁漏洞33个，低威胁漏洞4个，安全漏洞总量前一周相比有所下降。本周的高危漏洞数量较少，影响范围也比较小，其中包括：HP多个型号的彩色打印机、激光打印机存在远程固件更新漏洞；此外还有DVR Remote ActiveX 控制项存在一个代码执行漏洞，Schneider Electric公司的Vijeo Historian、CitectHistorian、CitectSCADAReports等软件存在缓冲区溢出漏洞。这些安全漏洞如果被攻击者利用可能执行任意代码或引起拒绝服务，影响信息的机密性、完整性、可用性，威胁用户隐私安全。

在本周安全漏洞中，最值得关注的是HP公司公布了其多款打印机存在的远程固件更新漏洞。其中包括HP CM8060 Color MFP with Edgeline；Color LaserJet 3xxx， 4xxx， 5550， 9500， CMxxxx， CPxxxx， 及Enterprise CPxxxx； Digital Sender 9200c 和9250c； LaserJet 4xxx， 5200， 90xx， Mxxxx，和Pxxxx；还有LaserJet Enterprise 500 color M551， 600， M4555 MFP， 和P3015 的默认配置允许远程Remote Firmware Update (RFU)，使得远程攻击者可以通过向TCP 9100端口发起一个会话上传一个构造的固件更新，即可执行任意代码。HP公司已针对这些漏洞更新了软件版本，建议用户做好安全防护，提高系统安全性，及时更新，防止黑客攻击。

此外，其他威胁程度较高的漏洞所影响的系统在我国应用范围较小，预计造成的影响较低。包括Schneider Electric 公司的多款软件——Vijeo Historian 4.30及之前版本，CitectHistorian 4.30及之前版本，CitectSCADAReports 4.10及之前版本的Steema TeeChart ActiveX控制项存在缓冲区溢出漏洞，允许远程攻击者通过未知向量执行任意代码或引起拒绝服务；还有DVR Remote ActiveX 控制项的DVRemoteAx.ax 2.1.0.39允许远程攻击者通过在一个web服务器上的清单目录中构造一个DVRobot.dll文件，即可执行任意代码。以上这些漏洞被攻击者成功利用会影响信息的机密性、完整性、可用性。目前厂商均已发布解决方案，建议受影响用户注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。