國家計算機網路中心：調查顯示上週發現81個安全漏洞總量有所上升

國家計算機網路入侵防範中心4日釋出安全漏洞週報說，2011年12月26日至2012年1月1日一週內共發現安全漏洞81個，其中高危漏洞44個，安全漏洞總量與前一週相比有所上升。

其中對我國使用者影響較大的安全漏洞有：微軟釋出安全通告MS11－100公佈了Microsoft.NET　Framework的ASP.NET表單認證票據快取漏洞；Microsoft　Windows　7　Professional　64－bit版本被發現存在一個任意程式碼執行漏洞；QQPlayer被發現存在緩衝區溢位漏洞等。

國家計算機網路入侵防範中心常務副主任張玉清說，這些安全漏洞如果被攻擊者利用可能執行任意程式碼、引起拒絕服務。影響資訊的機密性、完整性、可用性，威脅使用者隱私安全。

張玉清說，上週最值得關注的是微軟公司釋出的安全通告MS11－100公佈的一個Microsoft.NET　Framework的ASP.NET表單認證票據快取漏洞。ASP.NET子系統的表單認證功能在滑動期限啟用時不能正確處理快取的內容，導致遠端攻擊者可以通過精心構造URL獲得對任意使用者賬戶的訪問許可權。目前微軟還未釋出針對該漏洞的更新補丁。

同時，Microsoft　Windows　7　Professional　64－bit版本被發現存在一個任意程式碼執行漏洞。它的核心驅動程式中的win32k.sys，在使用Apple　Safari時，允許遠端攻擊者通過一個IFRAME裡的長度、高度屬性即可引起拒絕服務或可能執行任意程式碼。微軟還未針對該漏洞做出任何回應。

此外，可能對我國使用者影響較大的漏洞還有QQPlayer被發現存在堆緩衝區溢位漏洞，允許遠端攻擊者通過在一個MOV檔案中構造的PnSize值即可執行任意程式碼。騰訊還未釋出響應的更新或公告。其他漏洞所影響的軟體或系統在我國的使用較少，影響範圍較小。建議使用者做好安全防護，提高系統安全性，及時關注更新，防止黑客攻擊。