本篇文章737字,读完约2分钟
国家计算机网络入侵防御中心4日发布的每周安全漏洞报告显示,2011年12月26日至2012年1月1日这一周共发现81个安全漏洞,其中包括44个高风险漏洞,安全漏洞总数较前一周有所增加。
其中,对中国用户影响较大的安全漏洞有:微软发布了安全公告MS 11-100,宣布了Microsoft框架的ASP.NET表单认证票证缓存漏洞;发现64位版本的微软视窗7专业版存在任意代码执行漏洞;发现qqplayer存在缓冲区溢出漏洞。
国家计算机网络入侵防御中心执行副主任张雨晴表示,如果这些安全漏洞被攻击者利用,他们可能会执行任意代码,导致拒绝服务,影响信息的保密性、完整性和可用性,并威胁用户的隐私和安全。
张雨晴说,上周最值得注意的问题是microsoft.net框架的ASP.NET表单认证法案缓存中的一个漏洞,这是由微软的安全公告ms11-100宣布的。当启用滑动截止时间时,ASP.NET子系统的表单验证功能无法正确处理缓存的内容,这导致远程攻击者通过精心构建url来访问任何用户帐户。目前,微软还没有针对此漏洞发布更新补丁。
同时,微软视窗7专业版64位被发现有一个任意代码执行漏洞。Win32k.sys在其内核驱动程序中允许远程攻击者在使用apple safari时通过iframe中的长度和高度属性造成拒绝服务或可能执行任意代码。微软尚未对此漏洞做出回应。
此外,可能对中国用户产生更大影响的漏洞是,qqplayer被发现存在堆缓冲区溢出漏洞,使得远程攻击者能够通过mov文件中构造的pnsize值执行任意代码。腾讯尚未发布回应的更新或公告。受其他漏洞影响的软件或系统在中国很少使用,影响范围很小。建议用户做好安全防护,提高系统安全性,注意及时更新,防止黑客攻击。
