国家计算机网络入侵防范中心安全漏洞周报：2013年01月14日至2013年01月20日，安全漏洞共计有162个，其中高危漏洞52个，中等威胁漏洞97个，低威胁漏洞13个，安全漏洞总量与上周相比大幅上升。本周值得关注的漏洞有：Adobe公司公布了Flash Player、Adobe AIR以及ColdFusion等产品的缓冲区溢出漏洞和安全绕过漏洞;Mozilla公司公布了Firefox、Thunderbird、SeaMonkey等产品的大量漏洞，包括释放后使用漏洞、缓冲区溢出漏洞、权限提升漏洞、任意代码执行漏洞等;Oracle公司还公布了Database Server和Database Mobile/Lite Server 的多个未指明漏洞等。攻击者成功利用这些漏洞可能执行任意代码、引起拒绝服务、提升权限或造成未知影响。会影响信息的机密性、完整性、可用性，威胁用户隐私安全。建议用户及时下载或关注更新，做好安全防护。

本周比较值得关注的是Mozilla公司公布了Firefox、Thunderbird、SeaMonkey等产品的大量漏洞，包括释放后使用漏洞、缓冲区溢出漏洞、权限提升漏洞、任意代码执行漏洞等。其中Mozilla Firefox 18.0 之前版本, Firefox ESR 17.0.1 之前的 17.x 版本, Thunderbird 17.0.2 之前版本, Thunderbird ESR 17.0.1 之前的 17.x 版本,及 SeaMonkey 2.15 之前版本的多个函数、表和系统实现，允许远程攻击者通过多个攻击向量，即可执行任意代码或引起拒绝服务(堆内存破坏)，提升权限或造成其他未知影响。

此外，Adobe公司公布了Flash Player、Adobe AIR的一个缓冲区溢出漏洞和ColdFusion的一个安全绕过漏洞。其中Adobe Flash Player 基于Windows 和 Mac OS X 的10.3.183.50 之前版本和 11.5.502.146 之前的 11.x 版本, 基于 Linux 的 10.3.183.50 之前版本和 11.2.202.261 之前的 11.x 版本,基于 Android 2.x 和 3.x 的 11.1.111.31 之前版本,基于 Android 4.x 的 11.1.115.36 之前版本; Adobe AIR 3.5.0.1060之前版本;和 Adobe AIR SDK 3.5.0.1060 之前版本存在缓冲区溢出漏洞，允许远程攻击者通过未知向量执行任意代码。而Adobe ColdFusion 9.0, 9.0.1, 9.0.2, 和 10 版本允许远程攻击者通过未知向量绕过身份验证并可能执行任意代码。

另外Oracle Database Mobile/Lite Server (曾名为 Oracle Database Lite) 10.3.0.3 和 11.1.0.0 版本被发现存在未指明漏洞，而Oracle Database Server 10.2.0.3, 10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2和 11.2.0.3 版本的 Spatial 组件也存在未指明漏洞。

针对以上高危漏洞，厂商均已发布更新补丁。建议用户做好安全防护，及时下载安装更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。