国家计算机网络入侵防范中心安全漏洞周报：2011年12月26日至2012年01月01日，安全漏洞共计有81个，其中高危漏洞44个，中等威胁漏洞35个，低威胁漏洞2个，安全漏洞总量与前一周相比有所上升。其中对我国用户影响较大安全漏洞有：微软发布安全通告MS11-100公布了Microsoft .NET Framework的ASP.NET表单认证票据缓存漏洞；Microsoft Windows 7 Professional 64-bit版本被发现存在一个任意代码执行漏洞；QQPlayer被发现存在缓冲区溢出漏洞等。这些安全漏洞如果被攻击者利用可能执行任意代码、引起拒绝服务。影响信息的机密性、完整性、可用性，威胁用户隐私安全。

本周最值得关注的是微软公司发布了安全通告MS11-100公布了一个Microsoft .NET Framework的ASP.NET表单认证票据缓存漏洞。ASP.NET子系统的表单认证功能在滑动期限启用时不能正确处理缓存的内容，导致远程攻击者可以通过精心构造URL获得对任意用户账户的访问权限。目前微软还未发布针对该漏洞的更新补丁。

同时，Microsoft Windows 7 Professional 64-bit版本被发现存在一个任意代码执行漏洞。它的内核驱动程序中的win32k.sys，在使用Apple Safari时，允许远程攻击者通过一个IFRAME里的长度、高度属性即可引起拒绝服务或可能执行任意代码。微软还未针对该漏洞做出任何回应。此外，可能对我国用户影响较大的漏洞还有QQPlayer被发现存在堆缓冲区溢出漏洞，允许远程攻击者通过在一个MOV文件中构造的PnSize值即可执行任意代码。腾讯还未发布响应的更新或公告。其他漏洞所影响的软件或系统在我国的使用较少，影响范围较小。建议用户做好安全防护，提高系统安全性，及时关注更新，防止黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。