国家计算机网络入侵防范中心安全漏洞周报：2014年12月29日至2015年1月5日，安全漏洞137个，其中高危漏洞43个，中等威胁漏83个，低威胁漏洞11个，安全漏洞总量是上周的97.16% 。

本次值得关注的漏洞有，[*]AllegroSoft RomPager 中存在安全漏洞，受影响的产品, 4.34 和更早版本, 被使用于Huawei Home Gateway products, 允许远程攻击者，通过精心构造的 cookie，触发内存破坏，获得特权，即 "Misfortune Cookie"漏洞.[*]Schneider Electric ProClima 中的 Atx45.ocx 中的 ActiveX control 中存在缓冲区溢出, 受影响的产品, 版本早于 6.1.7, 由于对内存缓冲区的创建、修改、管理或删除有误, 允许远程攻击者，通过未知的向量执行任意代码，不同漏洞相比于 CVE-2014-8512.[*]Schneider Electric ProClima 中的 MDraw30.ocx 中的 ActiveX control 中存在缓冲区溢出, 受影响的产品, 版本早于 6.1.7, 由于对内存缓冲区的创建、修改、管理或删除有误, 允许远程攻击者，通过未知的向量, 执行任意代码，不同漏洞相比于 CVE-2014-8513 和 CVE-2014-8514. [*]ActiveSolid.dll 中的 ThreeDify.ThreeDifyDesigner.1 ActiveX control 中存在多个缓冲区溢出, 受影响的产品, ThreeDify Designer 5.0.2, 由于对内存缓冲区的创建、修改、管理或删除有误, 允许远程攻击者，通过长 argument (1) cmdExport，(2) cmdImport，(3) cmdOpen，或者 (4) cmdSave 方法, 执行任意代码.[*]MDIEEx.dll 中的 certain ActiveX control 中的 Download method 中存在缓冲区溢出, 受影响的产品, Gogago YouTube Video Converter 1.1.6, 由于对内存缓冲区的创建、修改、管理或删除有误, 允许远程攻击者，通过长 argument, 执行任意代码.

针对高危漏洞各公司均已发布安全公告和更新程序补丁。建议用户做好安全防护，及时关注并下载更新，注意上网安全，防范黑客攻击。

为了保护用户计算机与系统安全，国家计算机网络入侵防范中心建议用户及时更新补丁程序，补丁可以从软件厂商官方下载，不轻易打开未知网站和来路不明的文件，安装杀毒软件并将病毒库升级到最新。