信息安全漏洞周报国家信息安全漏洞共享平台(cnvd).pdfVIP

国家信息安全漏洞共享平台(CNVD) 信息安全漏洞周报 2010 年9 月13 日-2010 年9 月19 日 2010 年第36 期 本周漏洞基本情况 本周信息安全漏洞威胁整体评价级别为中。 国家信息安全漏洞共享平台（以下简称CNVD ）本周共收集、整理信息安全漏洞102 个，其中高危漏洞10 个、中危漏洞47 个、低危漏洞45 个。上述漏洞中，可利用来实施远 程攻击的漏洞有78 个。经跟踪发现，网上已经出现针对 “MediaHuman Music Converter 缓 冲区溢出漏洞”和“A-PDF All to MP3 Converter .wav文件处理缓冲区溢出漏洞”的零日攻 击代码，请相关用户注意做好相关防护措施。本周收录的安全漏洞中，已有78 个漏洞由相 关厂商提供了修补方案，建议用户及时下载补丁更新程序，避免遭受网络攻击。 本周重要漏洞信息 本周，CNVD 整理和发布以下重要安全漏洞信息。 1、Microsoft 多款产品存在安全漏洞 微软Windows操作系统、Outlook及IIS等产品存在多个安全漏洞，攻击者可利用漏洞提 升特权、获得敏感信息、实施拒绝服务攻击或以应用程序权限执行任意代码。具体漏洞包 括： Microsoft IIS请求头缓冲区溢出漏洞、Microsoft Windows后台打印服务远程代码执行 漏洞、Microsoft Windows多个系统win32k.sys文件缓冲区溢出漏洞、Microsoft MPEG-4 Codec媒体文件远程代码执行漏洞、Microsoft Windows CSRSS 内存分配本地特权提升漏洞、 Microsoft Exchange Server Outlook Web Access跨站请求伪造漏洞、Microsoft IIS 5.1基础验 证安全绕过漏洞、Microsoft Windows和Office unicode脚本处理器内存破坏漏洞、Microsoft Windows RPC 内存分配远程代码执行漏洞、Microsoft LSASS ADAM/ADLDS特权提升漏洞、 Microsoft IIS重复参数请求拒绝服务漏洞、Microsoft Outlook Online Mode远程堆缓冲区溢 出漏洞、Microsoft WordPad文本转换器Word 97文件解析内存破坏漏洞。目前微软已发布安 全公告及补丁修复上述安全漏洞，建议相关用户尽快下载使用。 参考链接：/vulnerability/CNVD-2010-02057 /vulnerability/CNVD-2010-02058 /vulnerability/CNVD-2010-02068 国家信息安全漏洞共享平台 第 1 页 2010-9-21 /vulnerability/CNVD-2010-02031 /vulnerability/CNVD-2010-02035 /vulnerability/CNVD-2010-02036 /vulnerability/CNVD-2010-02037 /vulnerability/CNVD-2010-02038 /vulnerability/CNVD-2010-02039 /vulnerability/CNVD-2010-02041 /vulnerability/CNVD-2010-02042 /vulnerability/CNVD-2010-02051 /vulnerability/CNVD-2010-02043 2、Microsoft .NET Framework ASP.NET 信息泄漏漏洞 Microsoft .NET Framework 是一款流行的软件开发工具包。微软近日发布2416728 号安 全公告，称正在调查一个新公开披露的ASP.NET 漏洞，该漏洞可导致信息泄漏。攻击者利 用该漏洞可能访问到包括目标服务器 web.config 在内的任何文件、获取目标服务器上的加 密信息或通过回传错误数据获取错误返回代码，从而发动进一步攻击。漏洞几乎存在于 ASP.NET 所有已发布版本中，微软目前尚无补丁发布，