当前位置: 安全纵横 > 安全公告

一周业界安全动态(10月27日-11月2日)

来源:安恒信息 日期:2008-11

Microsoft DebugDiag CrashHangExt.dll ActiveX控件拒绝服务漏洞
调试诊断工具(DebugDiag)用于排除Win32用户态进程中挂起、内存泄露或崩溃等故障。
DebugDiag所提供的CrashHangExt.dll没有正确地验证某些输入参数,如果用户受骗访问了恶意网页的话,就会在使用该控件的应用(通常为IE)中触发空指针引用,导致拒绝服务的情况。
目前厂商还没有提供补丁或者升级程序:
http://www.microsoft.com/technet/security/

 

Microsoft IE  地址栏URI欺骗漏洞
Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器。
Internet Explorer在显示地址栏时忽略了高位URL编码字符,如果攻击者所使用的URL域名与其他域名只有字符上差异的话,就可以欺骗地址栏执行网络钓鱼攻击。例如,http://www.foo%A9bar.com/ 在地址栏中实际显示为http://www.foobar.com/
目前厂商还没有提供补丁或者升级程序:
http://www.microsoft.com/windows/ie/default.asp

 

Adobe Flash Player剪贴板劫持漏洞
Flash Player是一款非常流行的FLASH播放器。
Adobe Flash Player中ActionScript的System.setClipboard方式允许向剪贴板中添加URL,恶意的SWF文件可能向剪贴板添加URL,导致用户错在不知情的情况下加载攻击者控制的URL。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player_10_linux.tar.gz

 

Adobe Flash Player FileReference API任意文件上传/下载漏洞
Flash Player是一款非常流行的FLASH播放器。
Adobe Flash Player中的ActionScript对FileReference上传API的FileReference.browse操作或FileReference下载API的FileReference.download操作没有要求用户交互,用户可能在不知情的情况下上传或下载恶意文件。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player_10_linux.tar.gz

 

Adobe PageMaker PMD文件处理多个缓冲区溢出漏洞
Adobe PageMaker是为商务、教育、小型及家庭办公室专业人士设计的页面排版软件。
如果用户使用Adobe PageMaker打开了带有特制字体结构的.PMD文件的话,就可能触发堆溢出或栈溢出,导致执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.adobe.com/support/security/bulletins/downloads/APSA08-10.zip