國家計算機網路入侵防範中心4日釋出安全漏洞週報說,2011年12月26日至2012年1月1日一週內共發現安全漏洞81個,其中高危漏洞44個,安全漏洞總量與前一週相比有所上升。
其中對我國使用者影響較大的安全漏洞有:微軟釋出安全通告MS11-100公佈了Microsoft.NET Framework的ASP.NET表單認證票據快取漏洞;Microsoft Windows 7 Professional 64-bit版本被發現存在一個任意程式碼執行漏洞;QQPlayer被發現存在緩衝區溢位漏洞等。
國家計算機網路入侵防範中心常務副主任張玉清說,這些安全漏洞如果被攻擊者利用可能執行任意程式碼、引起拒絕服務。影響資訊的機密性、完整性、可用性,威脅使用者隱私安全。
張玉清說,上週最值得關注的是微軟公司釋出的安全通告MS11-100公佈的一個Microsoft.NET Framework的ASP.NET表單認證票據快取漏洞。ASP.NET子系統的表單認證功能在滑動期限啟用時不能正確處理快取的內容,導致遠端攻擊者可以通過精心構造URL獲得對任意使用者賬戶的訪問許可權。目前微軟還未釋出針對該漏洞的更新補丁。
同時,Microsoft Windows 7 Professional 64-bit版本被發現存在一個任意程式碼執行漏洞。它的核心驅動程式中的win32k.sys,在使用Apple Safari時,允許遠端攻擊者通過一個IFRAME裡的長度、高度屬性即可引起拒絕服務或可能執行任意程式碼。微軟還未針對該漏洞做出任何回應。
此外,可能對我國使用者影響較大的漏洞還有QQPlayer被發現存在堆緩衝區溢位漏洞,允許遠端攻擊者通過在一個MOV檔案中構造的PnSize值即可執行任意程式碼。騰訊還未釋出響應的更新或公告。其他漏洞所影響的軟體或系統在我國的使用較少,影響範圍較小。建議使用者做好安全防護,提高系統安全性,及時關注更新,防止黑客攻擊。