国家计算机网络入侵防范中心安全漏洞周报：2013年04月01日至2013年04月07日，安全漏洞共计有53个，其中高危漏洞20个，中等威胁漏洞31个，低威胁漏洞2个，安全漏洞总量与上周相比有所下降。本周值得关注的漏洞有：Mozilla公司发布的Firefox、Thunderbird、SeaMonkey等产品的多个漏洞，包括整数符号错误漏洞、权限许可和访问控制漏洞以及多个未指明漏洞等。以上漏洞被攻击者利用可能会执行任意代码、绕过安全防护、引起拒绝服务或造成未知影响，影响用户信息的机密性、完整性、可用性。会影响信息的机密性、完整性、可用性，威胁用户隐私安全。建议用户及时下载或关注更新，做好安全防护。

本周Mozilla公司公布了Firefox、Thunderbird、SeaMonkey等产品的多个漏洞，包括整数符号错误漏洞、权限许可和访问控制漏洞以及多个未指明漏洞等。

其中，Mozilla Firefox 20.0 之前版本, Firefox ESR 17.0.5 之前的 17.x 版本, Thunderbird 17.0.5 之前版本, Thunderbird ESR 17.0.5 之前的 17.x 版本, 和 SeaMonkey 2.17 之前版本的浏览器引擎存在多个未指明漏洞，允许远程攻击者通过未知向量引起拒绝服务(内存破坏和应用程序崩溃)或可能执行任意代码。

Mozilla Firefox 20.0 之前版本，Firefox ESR 17.0.5 之前的17.x 版本，Thunderbird 17.0.5 之前版本，Thunderbird ESR 17.0.5 之前的 17.x 版本，以及SeaMonkey 2.17 之前版本的 System Only Wrapper (SOW) 实现，不能限制使用 cloneNode 方法克隆受保护节点，允许远程攻击者通过构造的网站绕过同源策略或可能以chrome权限执行任意 JavaScript 代码。

作为分布式与Cairo并用于Mozilla Firefox 20.0 之前版本，Firefox ESR 17.0.5 之前的 17.x 版本，Thunderbird 17.0.5之前版本，Thunderbird ESR 17.0.5之前的 17.x 版本，SeaMonkey 2.17 版本，以及其它产品中的Pixman中的pixman-sse2.c 中的 pixman_fill_sse2 函数中存在整数符号错误，允许远程攻击者通过构造的可导致越界读取的值，并会触发(1)负盒子边界或(2)负盒子大小的尝试使用，即可执行任意代码。

此外，PostgreSQL被发现存在设计错误漏洞和密码泄露漏洞。PostgreSQL是一款高级对象-关系型数据库管理系统，支持扩展的SQL标准子集。 PostgreSQL 9.2.4 之前的 9.2.x 版本，9.1.9 之前的 9.1.x 版本，9.0.13 之前的 9.0.x 版本，8.4.17 之前的 8.4.x 版本，8.3.23 之前的 8.3.x 版本，会产生带有可预测文件名的不安全的临时文件或将超级用户密码提供给相关脚本，允许攻击者通过与“Linux 和 Mac OS X的图形安装程序”有关的未知攻击向量造成未知影响。

针对上述漏洞各公司均已发布安全公告和更新程序补丁。其他高危漏洞所影响的软件和系统在我国的使用范围较小，危害较低。建议用户做好安全防护，及时下载安装更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。