国家计算机网络入侵防范中心安全漏洞周报：2013年09月23日至2013年09月30日，安全漏洞146个，其中高危漏洞33个，中等威胁漏99个，低威胁漏洞14个，安全漏洞总量与上周相比有所上升。

Mozilla Firefox 23.0.1及之前的版本，Firefox ESR 17.0.8及之前的版本，Thunderbird 17.0.9及之前的版本，Thunderbird ESR 17.0.8及之前的版本，SeaMonkey 2.20及之前的版本中的‘nsFloatManager::GetFlowArea’函数中存在缓冲区溢出漏洞。远程攻击者可通过在multi-column布局中使用特制的列表和浮点数，利用该漏洞执行任意代码。Mozilla Firefox 23.0.1及之前的版本，Firefox ESR 17.0.8及之前的版本，Thunderbird 17.0.9及之前的版本，Thunderbird ESR 17.0.8及之前的版本，SeaMonkey 2.20及之前的版本中的‘mozilla::layout::ScrollbarActivity’函数存在释放后重用漏洞。远程攻击者可借助图片文档滚动，利用该漏洞执行任意代码;Microsoft IE 6至11版本中的mshtml.dll文件中的SetMouseCapture功能实现中存在远程代码执行漏洞，该漏洞源于程序访问内存中已被删除或尚未正确分配的对象。攻击者可借助特制的网站并诱使用户查看该网站，利用该漏洞在IE中的当前用户的上下文中执行任意代码，可造成内存损坏。成功利用此漏洞的攻击者可获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，成功利用此漏洞的攻击者便可完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户;Adobe ColdFusion 10之前版本中的验证过程中存在安全漏洞，程序已知哈希密码情况下，不需要明文密码。上下文相关的攻击者可通过对配置文件的读权限，利用该漏洞获取管理员权限;Cisco Prime DCNM 6.2(1)之前的版本中存在多个远程命令执行漏洞，这些漏洞源于程序没有充分过滤用户提交的数据。攻击者可通过提交特制的内容到受影响软件，利用这些漏洞在受影响应用程序上下文中执行任意命令，成功的利用可导致完全控制系统。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。