当前位置: 安全纵横 > 安全公告

一周业界安全动态(4月27日-5月03日)

来源:安恒信息 日期:2009-05

Adobe Reader多个JavaScript方式内存破坏漏洞
Adobe Reader是非常流行的PDF文件阅读和编辑器。
Adobe Reader没有正确地处理对getAnnots()和customDictionaryOpen() JavaScript方式的调用,如果用户受骗打开了畸形的PDF文件,就会触发内存破坏,导致执行任意代码。
目前厂商还没有提供补丁或者升级程序:
http://www.adobe.com

 

Firefox nsTextFrame::ClearTextRun()函数远程内存破坏漏洞
Firefox是一款流行的开放源码WEB浏览器。
Firefox的nsTextFrame::ClearTextRun()函数中存在内存破坏漏洞,如果用户受骗打开了包含有恶意内容的网页就会导致浏览器崩溃。安装了HTML Validator附件组件的用户尤其受这个漏洞的影响。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.mozilla.org/

 

Google Chrome chromehtml:协议处理器绕过同源策略限制漏洞
Google Chrome是Google发布的开源WEB浏览器。
Chrome的chromehtml:协议处理器没有正确地处理ChromeHTML URI,如果用户受骗在Internet Explorer点击了特制链接的话,就可能无需任何交互便在Chrome中启动任意URI,并通过命令行参数执行JAVASCRIPT代码。结合上述两个漏洞,远程攻击者可以枚举本地文件或文件夹,或在任意域的安全环境中执行任意HTML和脚本代码。
目前厂商已经发布了升级补丁以修复这个安全问题:
http://www.google.com

 

Symantec WinFax Pro DCCFAXVW.DLL堆溢出漏洞
WinFax Pro是一款电脑传真软件,基本上可以代替真实的传真机。
WinFax Pro的DCCFAXVW.DLL库所提供的Symantec Fax Viewer控件(CLSID:{C05A1FBC-1413-11D1-B05F-00805F4945F6},进程ID:Symantec.FaxViewerControl.1)没有正确地验证用户传送参数。如果用户受骗访问了恶意网页并传送了超长参数的话,就可能触发堆溢出,导致执行任意代码。
目前厂商还没有提供补丁或者升级程序:
http://www.symantec.com/