当前位置: 安全纵横 > 安全公告

一周业界安全动态(11月20日-11月26日)

来源:安恒信息 日期:2007-11

Microsoft Windows不安全随机数生成器信息泄露漏洞
Microsoft Windows是微软发布的非常流行的操作系统。Windows的CryptGenRandom()函数中存在加密漏洞,可能会生成不安全的随机数导致可预测的加? 密密钥。如果攻击者本地登录到系统的话,就可能计算出前一个和下一个加密密钥,导致破解加密信息。例如,银行站点可能要求键入口令或信用卡号,然后随机数生成器就会创建一个随机加密密钥来加密通讯,因此攻击者破解了这个加密就可以获得银行帐号信息。目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

[链接]http://www.microsoft.com/technet/security/

 

Microsoft Jet数据库引擎MDB文件解析远程栈溢出漏洞
Microsoft Jet数据库是MS Office应用程序中广泛使用的轻型数据库。Jet数据库在处理畸形MDB文件时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞通过诱使用户处理恶意文件,控制服务器。Office Access在解析MDB文件时会调用Jet数据库引擎(msjet40.dll),如果解析了恶意的MDB文件就会在以下代码中触发栈溢出。目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

[链接]http://www.microsoft.com/technet/security/

 

迅雷PPLAYER.DLL_1_WORK ActiveX控件缓冲区溢出漏洞
迅雷是一款流行的P2P下载工具。迅雷的PPLAYER.DLL_1_WORK ActiveX控件实现上存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制用户系统。目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

[链接]http://www.xunlei.com/

 

BitDefender在线扫描器OScan.OCX ActiveX控件堆溢出漏洞
BitDefender Online Scanner是一款免费的在线杀毒软件。BitDefender在线扫描器所捆绑的OScan.ocx控件中存在远程代码执行漏洞,远程攻击者可能利用此漏洞在用户系统上执行任意指令。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

[链接]http://www.bitdefender.com/scan8/ie.html

 

[消息]火狐2.0.0.10升级版计划下周发布

比特网(ChinaByte)11月22日消息(他山石编译)据国外媒体报道,火狐浏览器制造商Mozilla计划下周发布补丁解决它的浏览器软件中长期存在的安全缺陷。

Mozilla表示,火狐2.0.0.10升级版需要在发布前进行测试,下周在美国感恩节后将面向公众发布。

Mozilla工程副总裁Mike Schroepfer表示,“为了保证不出现问题,我们安排了数天的时间进行测试,我们将在感恩节后发布这一软件的新的升级。”

本周五,在一个质量担保“测试日”(testday)期间,Mozilla将邀请火狐社区对浏览器进行测试。

Mozilla表示,事实上,火狐浏览器的缺陷与不能够完全阻止利用.jar格式压缩的文档有关,攻击者可能偷偷摸摸的利用恶意代码进入Jar 压缩文档,控制受害者的计算机。这种攻击可能指向谷歌的用户,攻击者可能访问Gmail账户、谷歌搜索和其他储存在谷歌网站中某些敏感的数据。

Mozilla称,随着下周2.0.0.10 升级的发布,这些缺陷将得到解决。