国家计算机网络入侵防范中心安全漏洞周报：2013年12月16日至2013年12月23日，安全漏洞127个，其中高危漏洞27个，中等威胁漏86个，低威胁漏洞14个，安全漏洞总量是上周的76.05% 。

本次值得关注的漏洞有，[*]7.02 EHP 2 版本的 SAP Customer Relationship Management (CRM) 中的 XML parser存在未知的影响和攻击向量关于XML External Entity (XXE) issue。[*]McAfee Email Gateway 7.6 允许远程授权管理员执行任意代码，需要利用shell元字节，元字节来源于1) TestFile XML element 或者 (2) 主机名的值。另外，该问题可以结合cve-2013-7092使得远程攻击者执行任意命令。[*]Interstage HTTP Server log functionality 中存在缓冲区溢出漏洞，当使用Fujitsu Interstage Application Server 9.0.0, 9.1.0, 9.2.0, 9.3.1, 以及 10.0.0; 以及 Interstage Studio 9.0.0, 9.1.0, 9.2.0, 和 10.0.0,有特定的关于"ihsrlog/rotatelogs"的影响和攻击向量。[*]Microsoft Internet Explorer 9 中存在释放后使用漏洞，允许远程攻击者执行任意代码，需要利用一个精心构造的站点，触发访问删除的CMarkup 对象，即"Internet Explorer Use After Free Vulnerability"[*]RealNetworks RealPlayer 16.0.2.32 和 16.0.3.51 中存在堆溢出漏洞，允许远程攻击者执行任意代码，需要利用到一个RMP文件的TRACKID element中的长字符串

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。