国家计算机网络入侵防范中心安全漏洞周报：2012年05月07日至2012年05月13日，安全漏洞共计有72个，其中高危漏洞49个，中等威胁漏洞21个，低威胁漏洞2个，安全漏洞总量与前一周相比大幅下降。本周值得关注的漏洞有：微软公司发布了7个安全公告，其中安全等级为“严重”的3个，其余均为“重要”等级，共修复了Microsoft Windows、Office、Excel、Word、.NET Framework、Visio Viewer等产品的共23个漏洞;此外Adobe公司也发布了4个安全公告，公布了Flash Professional、Photoshop、Illustrator、Shockwave Player等产品的多个代码执行漏洞、缓冲区溢出漏洞、释放后使用漏洞等。以上漏洞被攻击者成功利用可能会执行任意代码、引起拒绝服务或造成未知影响。会影响信息的机密性、完整性、可用性，威胁用户隐私安全。建议用户及时下载或关注更新，做好安全防护。

　　本周微软公司发布了7个安全公告，其中安全等级为“严重”的3个，其余均为“重要”等级，共修复了Microsoft Windows、Office、Excel、Word、.NET Framework、Visio Viewer等产品的共23个漏洞。

　　其中，公告MS12-029等级为“严重”，公布了Microsoft Office Word的一个任意代码执行漏洞，此安全更新解决了 Microsoft Office 中一个秘密报告的漏洞。如果用户打开特制的 RTF 文件，该漏洞可能允许远程执行代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。

　　公告MS12-034等级也为“严重”，该公告为Office、Windows、.NET Framework 和 Silverlight的一个组合更新，公布了以上产品的10个漏洞。包括TrueType字体分析漏洞，如果用户打开特制文档或者访问嵌入了TrueType字体文件的恶意网页，则这些漏洞中最严重的漏洞可能允许远程执行代码。攻击者无法强迫用户访问恶意网站。相反，攻击者必须诱使用户访问该网站，方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。还包含.NET Framework的一个缓冲区分配漏洞， Microsoft .NET Framework 中存在一个远程执行代码漏洞，它可能允许特制的 Microsoft .NET Framework 应用程序以不安全的方式访问内存。成功利用此漏洞的攻击者可以在登录用户的安全上下文中运行任意代码。Microsoft Silverlight 存在一个双重释放漏洞，它可能允许特制的 Silverlight 应用程序以不安全的方式访问内存。成功利用此漏洞的攻击者通过含有精心构造的XAML glyphs的向量可以在登录用户的安全上下文中运行任意代码。

　　公告MS12-035等级为“严重”，公布了.NET Framework的两个序列化漏洞。此安全更新可解决 .NET Framework 中的两个秘密报告的漏洞。如果用户使用可运行 XAML 浏览器应用程序 (XBAP) 的 Web 浏览器查看特制网页，则这些漏洞可能允许在客户端系统上远程执行代码。

　　此外值得关注的就是Adobe公司本周也发布了4个安全公告，公布了Adobe Illustrator、Photoshop、Flash Professional以及Shockwave Player多个安全漏洞。包括Illustrator和Shockwave Player的多个任意代码执行漏洞，允许远程攻击者通过未知向量执行任意代码或引起拒绝服务;及Photoshop的一个释放后使用漏洞，允许远程攻击者通过精心构造的TIFF文件(即.TIF)，执行任意代码;还有Flash Professional 的一个缓冲区溢出漏洞，允许攻击者通过未知向量执行任意代码。