当前位置: 安全纵横 > 安全公告

一周业界安全动态(10月15日-10月21日)

来源:安恒信息 日期:2007-10

安恒安服团队经过一周的评估,帮助客户发现并修补了多个严重的安全缺陷,受到客户的一致好评。在评估过程中,尽管一些管理员对服务器做了安全加固,但由于WEB应用程序的安全问题,致使服务器整体的安全隐患依然存在。

微软已承认错误,决定发布一款补丁修补IE7上一个容易导致用户遭受攻击的漏洞。

10月15日微软Windows安全团队在公司博客上解释说,该系统漏洞源于IE7在Windows XP和Server 2003环境下处理统一资源标识符(URI)的方式。URI是一个地址的开头,用于指定使用哪个程序来运行文件或链接。例如,一个地址以 “mailto:”开头地址可以启动一个电子邮件客户端;用户点击URI链接后,Windows会调用ShellExecute函数来运行URI指令。IE较早的版本一般会自行检查URI,如果链接中包含非标准的地址格式,那么这个链接就不会得到执行。但是,IE最新的版本允许执行非标准化的链接,一些恶意程序可以潜藏在链接程序中得到执行。该漏洞只影响XP和2003系统下的IE 7。 微软表示将推出一款补丁来修复这一漏洞,不过它并没有说明具体何时发布最新的补丁程序。

Oracle公司10月重要补丁更新在10月16日发布,这次补丁更新包括了51个安全补丁,将修复数百个产品的漏洞。其中五个安全漏洞能够在网络上被远程利用,不需要用户名或者口令。有11个补丁用于修复甲骨文应用服务器的安全漏洞,其中7个漏洞能够被远程利用,不需要进行身份识别。有8个补丁修复甲骨文电子商务套装软件的漏洞。其中一个安全漏洞能够被没有经过身份识别的远程用户利用。甲骨文电子商务套装软件包含甲骨文数据库。这个补丁也修复包含的数据库中的漏洞。

甲骨文使用通用安全漏洞评分系统第二版(CVSS2.0)评定安全漏洞的严重性。CVSS2.0的评分范围是1至10分,按照这个标准评分,所有产品的安全漏洞严重程度的是6.8分。[补丁下载] http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html

10月20日消息,著名的RealPlayer播放软件有漏洞,可导致黑客在用户PC机上执行恶意代码。该漏洞存在于RealPlayer的浏览器帮助对象中。要利用该漏洞,黑客需引诱用户播放某恶意网页。一旦用户系统被感染,黑客可在用户计算中安装或下载任何软件。

据悉,在Windows XP SP1和IE6环境下,受该漏洞影响的RealPlayer版本为10.5和11 beta。至于XP SP2和IE7是否受影响,目前仍在测试之中。