当前位置: 安全纵横 > 安全公告

一周业界安全动态(11月5日-11月11日)

来源:安恒信息 日期:2007-11

本周发布的严重漏洞中涉及多家厂商,其中苹果公司开发的媒体播放器QuickTime共有7个严重的安全漏洞被发现。这7处漏洞存在在于Mac OS X、Windows Vista、Windows XP SP2操作系统中。日前苹果发布了适用于Mac OS X和Windows平台的媒体播放器软件QuickTime 7.3版,修复这个软件中的7个安全漏洞。

更新地址:

http://www.apple.com/support/downloads/quicktime73forleopard.html

http://www.apple.com/support/downloads/quicktime73forpanther.html

http://www.apple.com/support/downloads/quicktime73fortiger.html

http://www.apple.com/support/downloads/quicktime73forwindows.html

Perl的正则表达式引擎在计算处理正则表达式所需空间的方式存在错误,本地攻击者可能利用此漏洞提升权限。如果用户所发送到正则表达式中包含有Unicode数据的话,就会导致运行时自动切换到Unicode字符主题,之后再传送的表达式就可能触发堆溢出,导致在用户机器上执行任意指令。

详细信息:http://www.debian.org/security/2007/dsa-1400

继10月份Mono System.Web StaticFileHandler.cs源码泄露漏洞之后本周又有一个Mono的漏洞发布。Mono的Mono.Math.BigInteger类在实现BigInteger数据类型时存在整数溢出漏洞,允许本地攻击者执行任意指令。

详细信息 :http://www.debian.org/security/2007/dsa-1397

IBM Informix Dynamic Server目录遍历及拒绝服务漏洞。IBM Informix Dynamic Server为企业提供运行业务所需的任务关键型数据基础设施。如果向IBM Informix Dynamic Server提交了SQ_ONASSIST请求的话,就可能导致服务器崩溃;此外服务器在处理DBLANG环境变量时没有正确地验证用户输入,可能导致目录遍历攻击。

补丁信息:http://www-1.ibm.com/support/docview.wss?uid=swg27011082

本周还有一个Windows内核权限提升漏洞公布,Microsoft DebugView Dbgv.sys内核模块本地权限升漏洞。DebugView允许用户监控本地系统或可通过TCP/IP访问的网络中计算机上的调试输出。DebugView所加载的Dbgv.sys内核模块中的功能可能允许将用户提供的数据拷贝到内核中可控的地址,这样恶意用户就可以向运行的内核中注入任意代码。如果要利用这个漏洞,管理员必须加载DebugView,这样才会将Dbgv.sys驱动加载到内核,然后所有用户在系统重启之前都可以访问有漏洞的内核模块。

更新地址:http://download.sysinternals.com/Files/DebugView.zip

消息

11月8日海南日报讯,海南省琼海市一名网上银行储户,因其网银账户上的存款被黑客转走,以银行对其网银个人信息和资料未尽妥善保管义务为由将银行告上法庭,日前,一审法院以该储户举证不力为由驳回了他的诉讼请求。

对此有专家日前在杭州表示,网银安全的问题并非网上银行的技术手段不够先进,而在于用户没能养成良好的网银交易习惯和充分使用现有的科技手段。据了解,目前网上银行失窃主要有两种:一种是因为未申请数字证书,网银用户密码被盗导致失窃;另一种是虽然申请了数字证书,但存储在电脑内,被网银大盗用木马病毒攻破,造成资金被盗。

银行业人士表示,数字证书是安全进入网银大门的钥匙,用户在使用网上银行时一定要向银行申请数字证书,并把数字证书存放在UsbKey内妥善保管,这是确保网银安全的关键。在正确使用数字证书的基础上,还要培养良好的上网习惯和网络安全意识。