信息安全漏洞周报国家信息安全漏洞共享平台 - 国家互联网应急中心.pdfVIP

国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报 2010 年10 月25 日-2010 年10 月31 日 2010 年第42 期 本周漏洞基本情况 本周信息安全漏洞威胁整体评价级别为中。 国家信息安全漏洞共享平台（以下简称CNVD ）本周共收集、整理信息安全漏洞109 个，其中高危漏洞13 个、中危漏洞65 个、低危漏洞31 个。上述漏洞中，可利用来实施远 程攻击的漏洞有90 个。经跟踪发现，网上已经出现针对 “Mozilla Firefox 3.5/3.6 document.write 和DOM 插入堆缓冲区溢出漏洞”、“Winamp 985 (in_mod plugin) 栈 缓冲区溢出漏洞”以及“Microsoft Windows lpksetup.exe oci.dll DLL 装载任意代码执行漏 洞”的零日攻击代码，请使用上述漏洞相关产品的用户注意做好防护措施。本周收录的安 全漏洞中，已有80 个漏洞由相关厂商提供了修补方案，建议用户及时下载补丁更新程序， 避免遭受网络攻击。 本周重要漏洞信息 本周，CNVD 整理和发布以下重要安全漏洞信息。 1、Mozilla Firefox 存在多个安全漏洞 Mozilla Firefox （火狐）是由Mozilla 基金会与开源团体共同开发的网页浏览器。本周， Mozilla Firefox 出现了多个安全漏洞，CNVD 收录的火狐安全漏洞包括：Mozilla Firefox 3.5/3.6 document.write 和DOM 插入堆缓冲区溢出漏洞、Mozilla Firefox 浏览器引擎拒绝服 务漏洞、Mozilla Firefox 文本渲染功能栈缓冲区溢出漏洞、Mozilla Firefox 释放后使用漏洞、 Mozilla Firefox LookupGetterOrSetter 函数缓冲区溢出漏洞等，其中“Mozilla Firefox 3.5/3.6 document.write 和 DOM 插入堆缓冲区溢出漏洞”为 0-day 漏洞，互联网上已经出现针对 Mozilla Firefox 的恶意代码攻击；后面4 个漏洞的安全等级为“高危”。攻击者可以利用上 述漏洞实施拒绝服务攻击、影响浏览器正常运行或执行任意代码等恶意活动。目前，Mozilla 已为上述所有漏洞发布了漏洞修补程序，CNVD 提醒广大用户及时下载更新，避免引发此 漏洞相关的安全事件。 参考链接：/vulnerability/CNVD-2010-02595 /vulnerability/CNVD-2010-02596 国家信息安全漏洞共享平台 第 1 页 2010-11-3 /vulnerability/CNVD-2010-02598 /vulnerability/CNVD-2010-02599 /vulnerability/CNVD-2010-02600 /vulnerability/CNVD-2010-02601 /vulnerability/CNVD-2010-02603 /vulnerability/CNVD-2010-02604 /vulnerability/CNVD-2010-02605 /vulnerability/CNVD-2010-02636 2、Opera 多款产品存在安全漏洞 Opera 是一款支持多平台的开源WEB 浏览器。本周，CNVD 收录了Opera 产品的多个 漏洞，具体包括：Opera 跨站脚本攻击和任意代码执行漏洞、Opera URL 欺骗输入验证漏洞、 Opera CSS 解析权限许可和访问控制漏洞、Opera SVG 文档缓冲区溢出漏洞、Opera 跨站脚 本攻击漏洞、Opera 信息泄露漏洞等。攻击者可利用这些漏洞获取敏感信息、执行任意代码、 实施拒绝服务攻击等。目前Opera 已经发布补丁或更新程序修复上述漏洞，建议相关用户 尽快下载使用。 参考链接：/vulnerability/CNVD-2010-02579 /vulnerabil