国家计算机网络入侵防范中心安全漏洞周报：2013年01月21日至2013年01月27日，安全漏洞共计有77个，其中高危漏洞35个，中等威胁漏洞39个，低威胁漏洞3个，安全漏洞总量与上周相比大幅下降。本周值得关注的漏洞有：Google公司公布了Chrome浏览器的多个未指明漏洞;Cisco公司公布了Wireless LAN Controller (WLC)的多个安全绕过漏洞和任意代码执行漏洞;施耐德电气公司公布了Schneider Electric Software Update (SESU)的任意代码执行漏洞和Electric Interactive Graphical SCADA System的缓冲区溢出漏洞等。攻击者成功利用这些漏洞可能执行任意代码、提升权限或造成未知影响。会影响信息的机密性、完整性、可用性，威胁用户隐私安全。建议用户及时下载或关注更新，做好安全防护。

本周比较值得关注的是Google公司公布了Chrome浏览器的多个未指明漏洞。其中Google Chrome 24.0.1312.56 之前版本不能正确处理路径名中的 %00 字符，存在未知影响和攻击向量。Google Chrome 24.0.1312.56 之前版本不能在打开新的窗口时正确验证URL，存在未知影响和攻击向量。

此外，Cisco公司公布了Wireless LAN Controller (WLC)的安全绕过漏洞和任意代码执行漏洞。Cisco Wireless LAN Controller (WLC)带有软件的设备7.0.235.3之前的7.0版本，7.1和7.2.111.3之前的7.2版本，7.3.101.0之前的7.3版本，允许远程认证用户通过SNMP请求绕过无线管理设置，并可读取或修改设备配置。此外，带有软件的设备 7.3.101.0 版本的 HTTP Profiling 功能允许远程认证用户通过构造的 HTTP User-Agent 头，即可执行任意代码。

施耐德电气公司的Schneider Electric Software Update (SESU)服务存在任意代码执行漏洞。Schneider Electric Software Update (SESU) Utility 1.0.x 和 1.1.x 版本的客户端不能确认更新是否有有效源，允许中间人攻击者通过修改TCP端口80数据流即可欺骗更新或执行任意代码。

针对以上高危漏洞，厂商均已发布更新补丁。建议用户做好安全防护，及时下载安装更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。