国家计算机网络入侵防范中心安全漏洞周报：2013年12月2日至2013年12月9日，安全漏洞78个，其中高危漏洞20个，中等威胁漏46个，低威胁漏洞12个，安全漏洞总量是上周的82.98% 。

本次值得关注的漏洞有，[*]Microsoft Windows XP SP2，SP3， Server 2003 SP2 内核中的 NDProxy.sys 允许本地用户通过一个 crafted 应用(像2013年11月曝光的那样)，获得特权。[*]Thomson Reuters Velocity Analytics Vhayu Analytic Server 6.94 build 2995及之前的版本中存在代码注入漏洞，该漏洞源于/VhttpdMgr脚本没有正确过滤‘fileName’参数。远程攻击者可通过上传PHP文件利用该漏洞以系统权限执行任意代码。[*]用于 SUSE Cloud 1.0 上的 Crowbar server 对于 production.log 文件使用弱权限，会造成不确定的影响和攻击向量。[*]3.5.25.3 之前的用于 Evince, Sumatra PDF Reader, VuDroid, 和其他产品中的 DjVuLibre，允许远程攻击者通过一个 crafted DjVu (aka .djv) 文件，执行任意代码或拒绝服务攻击。 [*]OSEHRA VistA 的 M2M Broker(发布于2013-09-30)，允许攻击者通过与 "logic flaw." 相关的未知向量，绕过认证执行 doctor-only 操作，读或修改 patient records。

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。