国家计算机网络入侵防范中心安全漏洞周报：2012年01月09日至2012年01月15日，安全漏洞共计有47个，其中高危漏洞23个，中等威胁漏洞23个，低威胁漏洞1个，安全漏洞总量与前一周相比有所上升。本周对我国用户影响较大安全漏洞有：Microsoft公司发布的7个安全公告，修复了与Windows 及 Windows Media Player等产品有关的多个漏洞；Google公司Chrome浏览器的多个未指明漏洞；Apache Struts 的任意代码执行漏洞等。这些安全漏洞如果被攻击者利用可能执行任意代码、任意命令或绕过安全机制、存在未知影响。影响信息的机密性、完整性、可用性，威胁用户隐私安全。

本周微软发布了MS12-001至MS12-007等7个安全公告，其中1个等级为“严重”，其余均为“重要”。

其中比较重要的是MS12-004公告公布的Windows Media Player MIDI 远程代码执行漏洞和Microsoft DirectShow 远程代码执行漏洞。Windows Media Player 中存在一个远程执行代码漏洞。攻击者可通过构建在使用 Windows Media Player 播放时可能允许远程执行代码的特制 MIDI 文件来利用此漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。Microsoft Windows的DirectX接口的DirectShow存在未指明漏洞，允许远程攻击者通过构造的与Quartz.dll，Qdvd.dll，隐藏字幕，和 Line21 DirectShow filter有关的多媒体文件即可执行任意代码。如果用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。

安全公告MS12-001公布了Windows 内核的SafeSEH绕过漏洞。在 Windows 中存在一个由于内核加载结构化异常处理表的方式而导致的安全功能绕过漏洞。成功利用此漏洞的攻击者可以绕过 SafeSEH 的纵深防御机制，以便利用其他漏洞。

安全公告MS12-005公布了一个Microsoft Windows 程序集执行漏洞。Windows 包装程序加载 Microsoft Office 文件中内嵌的 ClickOnce 应用程序的方式中存在一个远程代码执行漏洞。

此外，Google公司公布了Chrome浏览器的多个未指明漏洞，这些漏洞存在未知影响和攻击向量。Apache Struts 2.3.1.1之前版本的CookieInterceptor组件不能使用参数名白名单，使远程攻击者通过构造的会通过静态方法触发Java代码执行的HTTP Cookie头来执行任意命令。Apache Struts 2.2.3.1之前版本的ExceptionDelegator组件通过OGNL表达式解释参数值时，在某些对误匹配的数据类型进行异常处理的过程中，允许远程攻击者通过构造的参数执行任意Java代码。针对以上漏洞，厂商均已发布更新程序或补丁，建议用户做好安全防护，及时更新，防止黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。