国家计算机网络入侵防范中心安全漏洞周报：2011年12月12日至2011年12月18日，安全漏洞共计有138个，其中高危漏洞64个，中等威胁漏洞70个，低威胁漏洞4个，安全漏洞总量与前一周相比大幅上升。其中对我国用户影响较大安全漏洞有：Microsoft公司发布的13个安全公告，修复了Windows、Microsoft Office、Microsoft Publisher等多个产品的多个漏洞；Parallels Plesk Panel 被发现存在多个漏洞，包括认证绕过漏洞、SQL注入漏洞等；Adobe公司公布了Adobe Reader和Acrobat的一个未指明漏洞等。这些安全漏洞如果被攻击者利用可能执行任意代码、引起拒绝服务或造成未知影响，影响信息的机密性、完整性、可用性，威胁用户隐私安全。

本周微软发布了13个安全公告，其中3个“严重”等级，其余均为“重要”等级。

其中比较重要的包括：安全公告MS11-089、MS11-094、MS11-096公布了Office的几个漏洞，公告089公布了由于 Microsoft Office IME（中文）不正确地暴露未设计为在安全桌面上运行的配置选项，存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序；查看、更改或删除数据；或者创建拥有完全管理权限的新帐户。公告094公布了Microsoft PowerPoint 处理 DLL 文件加载的方式中存在的一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。公告096公布了Microsoft Excel 处理特制 Excel 文件的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。

安全公告MS11-092公布了Windows Media Player 和 Windows Media Center 处理 .dvr-ms 文件的方式中存在一个远程执行代码漏洞。如果攻击者成功诱使用户打开特制的 .dvr-ms 文件，此漏洞可能允许攻击者执行任意代码。

安全公告MS11-099公布了涉及Internet Explorer的3个安全漏洞，其中最严重的为Internet Explorer 处理 DLL 文件加载的方式中存在一个不安全库加载漏洞。如果用户打开与特制动态链接库 (DLL) 文件位于同一目录下的合法超文本标记语言 (HTML) 文件，攻击者即可执行任意代码。

此外，值得关注的是主流控制面板应用Parallels Plesk Panel被发现存在大量漏洞，包括多个未指明漏洞、认证绕过漏洞和SQL注入漏洞，目前Parallels公司还未针对这些漏洞信息做出回应。还有Adobe公司的Adobe Reader和Acrobat存在一个未指明漏洞；Winamp播放软件存在一个整数溢出漏洞。Adobe公司和Winamp均已发布了更新补丁。建议用户做好安全防护，提高系统安全性，及时关注更新，防止黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。