国家计算机网络入侵防范中心安全漏洞周报:2012年02月06日至2012年02月12日,安全漏洞共计有66个,其中高危漏洞29个,中等威胁漏洞33个,低威胁漏洞4个,安全漏洞总量与前一周相比有所下降。本周对我国用户影响较大安全漏洞有:Google公司浏览器Chrome存在代码执行漏洞,RealNetworks公司旗下播放器产品RealPlayer存在多个漏洞,包括未指明漏洞和多个任意代码执行漏洞等。这些安全漏洞如果被攻击者利用可能执行任意代码、任意命令或绕过安全机制、存在未知影响。影响信息的机密性、完整性、可用性,威胁用户隐私安全。
本周值得关注的漏洞是Google公司浏览器Chrome存在一个代码执行漏洞。其之前版本存在竞争条件错误,允许远程攻击者通过会触发效用进程崩溃的向量来执行任意代码。RealNetworks公司也公布了RealPlayer等产品的多个漏洞,这些漏洞大部分时候多媒体解码器造成的。如某些版本的ATRAC解码器不能正确解码样本,使得远程攻击者通过构造的ATRAC音频文件执行任意代码。目前Google公司和RealNetworks公司已针对这些漏洞发布了安全公告MFSA2012-01至MFSA2012-08,建议用户及时更新,做好安全防护。
此外,Symantec 公司的pcAnywhere / Altiris 存在权限获取漏洞。其不能在远程会话异常结束后正确处理客户端状态,允许远程攻击者利用一个“开放式客户端会话”即可获取客户端权限。针对这些漏洞,厂商均已发布更新程序或补丁,建议用户做好安全防护,及时更新,防止黑客攻击。
为了保护用户计算机与系统安全,国家计算机网络入侵防范中心建议用户及时更新补丁程序,补丁可以从软件厂商官方下载,不轻易打开未知网站和来路不明的文件,安装杀毒软件并将病毒库升级到最新。