当前位置: 安全纵横 > 安全公告

一周安全动态(2012年12月20日-2012年12月27日)

来源:安恒信息 日期:2012-12

2012年12月第四周(12.20-12.27)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 光明日报:谁来撑起个人信息安全保护的大伞

个人信息倒卖示意图。CFP

日前,公安机关公布了3起典型案例,犯罪嫌疑人涉嫌利用互联网非法获取、贩卖个人信息,对公民合法权益造成严重损害。信息时代在给人们带来方便快捷的同时,涉及隐私的个人信息安全的状况不容忽视。专家表示,个人信息保护、真实身份泄露等问题的解决已迫在眉睫,应积极加强网络法制建设,加快形成法律规范。

个人信息保护现状堪忧

随着互联网的快速发展,个人注册信息的频繁泄露导致一些不法分子有机可乘,近年来当事人因个人信息泄露而在经济、精神和名誉等方面蒙受损失的案件不胜枚举。

案件发生的信息源多来自各种网络运营商、企业和公共服务机构,他们大多保存有各自用户及消费者的信息数据,其中涉及姓名、年龄、住址、婚姻状况、联系方式等大量个人基本信息。更让人不安的是,公然暴露在陌生人面前的,除了这些个人基本信息,还包括银行存款、投资状况等财产性信息,一旦泄露,后果将很难预测。一些非法出售个人信息的犯罪群体通过贩卖网络个人信息实现牟利或其他非法目的。中国社会科学院法学所研究员陈欣新认为,个人信息的泄露会给当事人造成严重损害,而互联网传输快、范围广的特有属性,则使得个人信息保护的安全状况更加严峻。

北京邮电大学互联网治理与法律研究中心主任、教授李欲晓说:“目前个人信息在网络上的覆盖面很广,与个人行为的关联度极高,加上网络数据检索等技术的快速发展,使得个人信息在网络上得以更加完整地呈现,本来可能只是个人的网上行为,却很可能被非法机构及个人滥用。”

用法律保护个人信息迫在眉睫

个人信息遭泄露的事件频频发生,不仅侵犯了公民的隐私权,也给许多人的生活造成严重困扰,建立互联网个人隐私和信息保护制度成为人们的呼声。

“个人信息保护既要保障个人在网络社会的基本权利,也是在保护我们国家的一种战略资源。”李欲晓说。“试想,全世界都可以从网络上拿走你的信息,而我们的法律却难以有效保护它,这是非常可怕的。”

据中国青年报报道,目前我国已出台与网络相关的法律、法规和规章共计200多部。据统计,涉及个人信息保护方面的法律有将近40部,法规有30部,另外还有一些部门规章和一些地方法规。

多管齐下加强个人信息保护

专家普遍表示,需多管齐下加强个人信息保护。

“保障公民个人信息的安全,维护公民隐私权,网络安全法制建设势在必行。”李欲晓说,应加快个人网络信息安全及隐私保护的相关立法工作,依法加大对违法犯罪的打击力度,在建立信息安全产品安全审查和管理制度的同时,还应加大监管机制的建设,加强互联网技术保护措施。只有从国家战略层面看待个人信息安全保护,才能真正还人们一片安全的天空。

陈欣新还特别强调,对于依据法定职责可以收集、存储个人信息的网络服务机构及个人,公众要有意识地防止其利用专业服务优势,通过格式合同等形式使用个人信息,应建立专门法律对此进行区分和规范,以确保个人信息安全。

信息时代,公民个人信息安全与否,不完全是个人的私事,而是事关公民安全、法律尊严、社会稳定的大事。当前,由于管理不严,导致部分商家或不法分子通过互联网非法获取、贩卖个人信息,物流、银行、汽车销售等行业也有用户个人信息外泄的案例。打击侵害个人信息行为已迫在眉睫。个人信息的充分保护,关键在于相关法律机制的健全,这才能真正撑起个人信息安全保护的大伞。

1.2 网络犯罪倒逼信息安全法出台

网络时代,个人信息的安全是个大问题。

12月20日的《人民日报》就报道了一批通过网络买卖个人信息以牟利的案例。这其中,既有用假身份证冒领受害人申办的信用卡挂号信和快递的,也有在网上购买个人银行征信系统相关信息的,而目的无一不是窃取资料后激活信用卡刷卡套现。当然,更多的则是纯粹的个人信息买卖——在网上成批量购买机动车主信息、学生学籍信息等个人信息,然后转手卖给下家牟利。

报道中提到,在网上买卖个人信息已经形成了一条利益链。事实上,这条利益链不仅已经形成,而且已经相当可观。前段时间央视做了一个专题节目,其中提到一些网店业主从网上购买网购客户信息以提高好评度,这条产业链就已经相当“成熟”。

如果我们把视野再放宽一点,就可以发现,在快递越来越普及的今天,倒卖客户的个人信息,早已经成了某些快递公司“成熟”的副业。

其实个人信息被倒卖已经是个老问题,前些年深圳一家医院集体倒卖住院孕妇信息的案例曾经轰动全国。但在互联网时代,令个人信息倒卖变得门槛更低,当然,每个身处互联网时代的人,对于信息安全的焦虑感,也就更强。

对于买卖个人信息犯罪,警方打击当然重要,但最重要的,仍然是从法律的角度扎紧个人信息安全的篱笆。但恰恰是在这方面,我们的法律完善进程,却没有跟上互联网时代的步伐。

今年年初的时候,工信部直属的中国软件测评中心曾联合30多家单位起草了《信息安全技术、公共及商用服务信息系统个人信息保护指南》。虽然这个被媒体称为“个人信息保护指南”的规范性文件目前还在等待国家批准,已经被很多人寄予厚望。但是,也要看到,这个规范性文件本身却并没有任何约束力,也就是说,即便指南编得再好,企业也可以选择无视。个人信息安全的出路,仍在于一部专门的法律。

关于个人信息安全法的立法建议,舆论呼吁过多次,人大代表、政协委员和专家学者,也多次直陈其紧迫性。如果说在互联网时代之前,贩卖个人信息还具有偶发性局部性的特点,那么现在,贩卖个人信息的“黑手”,却已经借着互联网技术无孔不入了——信用卡、社交网站、支付宝、网上购物……这些与互联网产生关系的领域,都已经成为个人信息安全的黑洞。互联网时代,正在倒逼个人信息安全立法必须加快步伐——有了一部专门的法律,才能明确监管责任,才能明晰企业处理个人信息的边界和责任,也才能让贩卖个人信息者罪当其罚。

关于个人信息安全立法,很多国家已经有了成熟的经验。比如美国有《隐私权法》《信息保护和安全法》《防止身份盗用法》《网上隐私保护法》以及《消费者隐私保护法》,德国有《联邦资料保护法》,法国有《法国自由、档案、信息法》,英国有《数据保护法》,等等。这些国家的立法及执法经验,我们完全可以借鉴。当然,立法的首要条件,仍然是立法者已经充分意识到互联网时代保障个人信息安全的重要性——它不仅能让我们在透明时代免予被骚扰,更能让我们免予信息不安全的恐惧。

1.3 如何加强网络法制建设 加快形成互联网管理体系?

如何加强网络法制建设,加快形成法律规范、行政监管、行业自律、技术保障、公众监督、社会教育相结合的互联网管理体系?

《决定》强调,“加强网络法制建设,加快形成法律规范、行政监管、行业自律、技术保障、公众监督、社会教育相结合的互联网管理体系。”这是党中央加强网络文化建设和管理的重大决策部署。贯彻落实这一重大部署,应着重抓好以下4方面工作。

第一,积极推进网络法制建设。这些年来,我国制定颁布了一系列互联网法律法规和部门规章,确立了我国网络管理的基础性制度,在实践中发挥了重要作用。但我国现有互联网法律法规还不完善,与网络管理执法工作实际需要不相适应,迫切需要健全互联网法规体系,实行依法管网、依法办网、依法上网。要加快立法进程,区分轻重缓急,抓紧制定完善最急需最迫切的法律法规,加强对现有法律法规适用网络管理的延伸和司法解释工作。同时,加大执法力度,壮大执法队伍,健全执法体系,落实执法责任,真正做到有法必依、执法必严、违法必究。

第二,突出抓好重点环节管理。网络文化管理头绪多任务重,必须突出重点、抓住要害。要加强网站登记备案、接入服务等基础资源管理,严格规范域名和IP地址管理,确保网站登记备案信息真实准确完整。坚持对涉及公共利益的网络文化服务实行行政许可制度,完善网络文化服务市场准入和退出机制。严格规范网络文化信息传播秩序,高度重视对社交网络和即时通信工具等网络新应用的规范引导,坚持积极利用和加强管理并重,切实做到趋利避害、可管可控。深入推进整治网络淫秽色情和低俗信息专项行动,坚决切断违法有害信息传播利益链,依法严厉惩处传播淫秽色情信息的不法分子,净化青少年成长的网络环境。把加强日常监管和提供服务保障结合起来,不断创新管理方法,加强网站从业人员培训,落实重点岗位持证上岗制度,完善网站绩效考核评价体系,不断提高网络文化服务整体水平。

第三,切实维护网络安全。互联网已经成为国家重要的基础设施,切实维护网络安全是保障国家信息安全、促进文化繁荣发展、维护社会和谐稳定的根本要求。当前,我国网络安全面临严峻挑战,特别是黑客攻击,已经成为网络安全的严重威胁。有关机构统计显示,2010年我国遭到近50万次黑客攻击,其中接近一半的攻击源来自境外。中国是世界上黑客攻击的主要受害国之一。事实表明,维护网络安全是世界各国的共同责任。要广泛开展网络安全教育,提高公众网络安全意识,增强自我防护能力。推动网站完善信息制作发布流程,建立有害信息预警、发现、处置机制,发挥技术手段防范作用,确保网上信息真实准确、安全有序传播。加大网上个人信息保护力度,建立网络安全评估机制,维护公共利益和国家信息安全。加大网络安全技术攻关力度,加快互联网核心装备技术国产化,构建新一代网络文化平台。加强网络安全国际合作,建立多层次、多渠道合作机制,形成各国共同参与、普遍受益的网络安全体系。

第四,构建网络文化管理新格局。加强互联网管理,必须依靠政府、业界、公众三方共同努力。网上信息内容管理、互联网行业管理、打击网络违法犯罪等部门要认真履行职责,落实好分级管理、属地管理责任,做到谁主管谁负责,形成工作合力。发挥互联网行业组织作用,推动互联网业界加强行业自律,督促网络运营服务企业履行法律义务和社会责任,不为有害信息提供传播渠道,切实增强企业的公信力。紧紧依靠人民群众的力量规范网络文化发展,强化舆论监督、群众监督、社会监督,互联网举报机构要及时受理公众举报,落实举报奖励制度,定期向社会公布举报受理和查处情况。广泛开展文明网站创建,深入开展网络法制道德教育,着力培育网上理性声音、健康声音、建设性声音,构建文明理性、和谐有序的网络环境,以网络文化的健康繁荣推动社会主义文化大发展大繁荣。

1.4 顾坚:银行加大与立法机关沟通 提高打击网络犯罪精度

2012年12月13日,有中国金融认证中心主办的“2012中国电子银行年会暨中国电子银行年度金榜颁奖盛典”在京举行,会议主题为“安全”和“环保”。和讯网作为战略合作媒体支持对本次论坛进行图文直播报道。公安部网络安全保卫局副局长顾坚在会议中表示,为了给电子银行创造更加安全的使用环境,我们建议各家银行及主管部门要加强网银盗窃、网络钓鱼等违法破坏活动的监控力度,加强预警处置,同时要加大与立法机关的沟通,研究针对以电子银行为渠道,发生的违法犯罪活动的特点和规律,完善相关法律制度,从而提高对此类犯罪的打击精度。

公安部网络安全保卫局副局长顾坚致辞

以下为嘉宾发言全文:

顾坚:尊敬的王司长、樊司长,尊敬的季小姐总经理,各位来宾,各位朋友,大家下午好!很高兴参加由CFCA主办的2012中国电子银行年会暨中国电子银行年度金榜颁奖盛典。

CFCA联合各家商业银行已连续举办了八届中国电子银行联合宣传年活动,8年来,电子银行为广大用户提供安全、便捷、环保的服务,因此越来越受到大家的青睐。今年联合宣传年开展了“电子银行环保日”、“网银卫士安全行动月”、“电子银行高峰论坛”等活动,使我们与上亿电子银行用户共同见证了电子银行的发展。

随着科技的迅速发展,互联网浪潮已席卷社会、政治、经济、文化等各个领域,但在促进经济社会发展、方便公众生活的同时,也滋生了各种新型的网络犯罪活动。电子银行的安全防范措施在不断地提高,但是针对电子银行用户的违法犯罪行为仍时有发生,特别是利用电子银行方便快捷的特性,为其他犯罪行为提供洗钱等帮助的行为日益严重,给正在蓬勃发展的电子银行业务带来了一些负面的影响,也向我们提出了新的挑战。为此,公安机关一直高度重视互联网的管理工作,严厉打击各种网上违法犯罪活动,不断努力应对网络犯罪带来的新挑战。我们欣喜地看到,在公安机关、银行业主管部门以及各家银行的通力协作下,近年来,电子银行业务的安全得到了较为安全有效的保障,电子银行尤其是移动金融服务得到进一步发展。

在此我要特别感谢CFCA、各级金融监管部门、各家商业银行对我们工作的支持,CFCA携手各商业银行向用户普及安全使用电子银行的常识,为维护网络安全做出了贡献。为了给电子银行创造更加安全的使用环境,我们建议各家银行及主管部门要加强网银盗窃、网络钓鱼等违法破坏活动的监控力度,加强预警处置,同时要加大与立法机关的沟通,研究针对以电子银行为渠道,发生的违法犯罪活动的特点和规律,完善相关法律制度,从而提高对此类犯罪的打击精度。

公安部网络安全保卫局愿意同CFCA及各商业银行一道,不断加强电子银行业务的安全,不断促进电子银行事业健康、快速、持续地发展。在此我呼吁大家共同携手,为建设安全的互联网环境做出更大的贡献。

最后衷心祝愿2012中国电子银行年会暨中国电子银行年度金榜颁奖盛典取得圆满成功,谢谢大家!

1.5 全国人大将审议网络信息保护决定草案

随着互联网技术广泛应用和迅猛发展,利用互联网进行诈骗等违法犯罪活动日益猖獗,犯罪手段之多样和隐蔽,公民合法权益受到侵害程度之深,令人触目惊心。从国家层面惩治网络违法犯罪、保护公民合法权益已是当务之急。

加强网络信息保护和管理,需要提高立法层级。多位法学专家指出,目前我国互联网立法存在滞后问题,法律层次不高,主要是通过行政法规和部门规章进行管理,而且各类规定比较分散,可操作性有待提高。12月14日召开的全国人大常委会委员长会议决定,12月24日召开的全国人大常委会将审议关于加强网络信息保护的决定草案。这个最高国家权力机关的立法之举对于网络信息保护和管理意义重大,是国家推进网络依法规范有序运行的重要举措。

1.6 apache插件将合法网站变成恶意程序传播平台

杀毒软件公司Eset发现了一个恶意Apache插件,它能将Web服务器变成悄悄在访问者电脑上安装恶意程序的攻击平台。该插件是一个x64 Linux二进制文件,能在入侵网站植入恶意内容,如安装窃取银行帐号信息的木马ZeuS(Win32/Zbot)。

Eset上个月发现该插件时,它的命令控制服务器位于德国,针对的是俄罗斯和欧洲的银行客户。该恶意插件被冠之以Linux/Chapro.A,它采用了多种手段避免被外界检测到,如当访问者浏览器的useragent指示其来自Google或其它自动搜索引擎代理,它不会启动恶意内容;如果访问者IP地址是通过SSH渠道连接到Web服务器,该插件也不会开火,以避免让管理员获悉服务器遭入侵。

1.7 黑客入侵六国SCADA系统

上周末,黑客Sl1nk通过twitter宣布,他已经成功入侵了一些国家的SCADA设施,包括法国、挪威、俄罗斯、西班牙、瑞典和法国。并且部分数据在网络泄露。

美国SCADA地址 http://t.co/XXpypcBa

瑞典电信SCADA地址 http://t.co/gjVDeJVn

挪威SCADA地址 http://t.co/gN1vAA5c

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.umf(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.umg(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Simda.i(‘思密达’木马病毒)

警惕程度 ★★★★

该病毒运行后修改注册表,实现开机自启动,将恶意代码远程注入到svchost.exe进程中,并删除原来的病毒可执行程序,远程连接黑客指定服务器,下载黑客程序至用户电脑,向黑客发送用户电脑的相关信息。同时,病毒会检测自身是否具有管理员权限,并尝试将一个dll注入到winlogon.exe进程中,以达到盗取用户的虚拟财产。

3 安全漏洞公告

3.1 IBM Rational Automation Framework Web UI 安全绕过漏洞

IBM Rational Automation Framework Web UI 安全绕过漏洞

发布时间:

2012-12-21

漏洞号:

CVE(CAN) ID: CVE-2012-4816

漏洞描述:

IBM Rational Automation Framework 能够自动执行中间件环境构建、中间件管理以及应用程序和相关工件的部署。这种可定制且可扩展的框架支持 IBM WebSphere 中间件、Oracle WebLogic Server 和 JBoss Application Server。
IBM Rational Automation Framework (RAF) 3.0, 3.0.0.1, 3.0.0.2, 3.0.0.3, 3.0.0.4, 3.0.0.5没有正确检查凭证,通过80/TCP端口访问Rational Automation Framework (RAF) Web UI时,其会强制要求用户登录,但用户可以直接访问8080/TCP(默认的应用程序服务器端口)浏览各种根上下文,直到找出向导的位置。

安全建议:

临时解决方法:

Environment Generation Security Patch for Tomcat

1、修改下面的文件,修复Env Gen Wizard默认不用登陆即可访问。
Path: C:\IBM\Apache\tomcat\conf
File: tomcat-users.xml
在<tomcat-users>标签之间添加用户配置文件

<role rolename="admin"/>
<user username="admin" password="admin888" roles="admin"/>

2、在</web-app>标签上添加下列组件

Path: C:\IBM\Apache\tomcat\webapps\rafw\WEB-INF
File: Web.xml
<security-role>
<role-name>admin</role-name>
</security-role>
<security-constraint>
<display-name>Environment Generation</display-name>
<web-resource-collection> <web-resource-name>Administration</web-resource-name>
<url-pattern>/rafw/*</url-pattern>
</web-resource-collection>
<!-- Only administrators can access this resource -->
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- Use BASIC security -->
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>Secure Area</realm-name>
</login-config>

3、重启BuildForge。
Environment Generation Security Patch for WebSphere Application Server (WAS 7.0 & 8.0)
更新web.xml文件
1、web.xml文件有两个副本,位于下面的目录中:
/WAS_install_root/installedApps/<cellname>/rweb.ear/rweb.war/WEB-INF/web.xml
/WAS_install_root/config/cells/<cellname>/applications/rweb.ear
/deployments/rweb/rweb.war/WEB-INF/web.xml
注:如果是 WebSphere Application Server Network Deployment,必须更新下面的文件:
/IBM/WebSphere/AppServer/profiles/Dmgr01/config/cells/<dellname>
/applications/rweb_war.ear/deployments/
rweb_war/rweb.war/web.xml

2、插入下文到三个web.xml文件
<security-constraint>
<display-name>Environment Generation</display-name>
<web-resource-collection>
<web-resource-name>Security constraint for Env Gen</web-resource-name>
<url-pattern>/rafw/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
<security-role>
<role-name>admin</role-name>
</security-role>

3、启用WebSphere Application Server security
4、将Web.xml内的Security Roles映射到WAS Manage User/Group
尝试使用默认的WAS端口登录:
http://<server_url>:9080/rafw/env

厂商补丁:
IBM已经为此发布了一个安全公告(swg21620359)以及相应补丁:
swg21620359:Security Bulletin: Rational Automation Framework Environment Wizard Vulnerability (CVE-2012-4816)
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21620359

3.2 IBM Rational Policy Tester 5.4-8.5.0.2 SSL连接验证安全绕过漏洞

IBM Rational Policy Tester 5.4-8.5.0.2 SSL连接验证安全绕过漏洞

发布时间:

2012-12-21

漏洞号:

CVE(CAN) ID: CVE-2012-0738,CVE-2012-0741

漏洞描述:

IBM Rational Policy Tester 是一种领先的自动化的在线遵从性解决方案,用于评估企业Web 资产的质量、隐私和可访问性等遵从性问题。IBM Rational& AppScan& Enterprise Edition 是一个 Web 应用程序漏洞测试和报告解决方案,它将安全性测试扩展到了整个企业。
IBM Rational Policy Tester 8.5.0.3之前版本和IBM Security AppScan Enterprise 8.6.0.2之前版本(Microsoft Windows平台)没有正确验证SSL连接的合法性,攻击者可利用此漏洞造成中间人攻击,绕过安全限制。

安全建议:

IBM已经为此发布了一个安全公告(swg21620759)以及相应补丁:
swg21620759:Security Bulletin: Vulnerability in IBM Security AppScan Enterprise - Insecure Handling of SSL Communication during Scanning and the Manual Explore Proxy to the site (CVE-2012-0738, CVE-2012-0741)
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21620759

3.3 IBM WebSphere Application Server for z/OS HTTP Server组件任意命令执行漏洞

IBM WebSphere Application Server for z/OS HTTP Server组件任意命令执行漏洞

发布时间:

2012-12-21

漏洞号:

CVE(CAN) ID: CVE-2012-5955

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
IBM WebSphere Application Server for z/OS 5.3及其他版本在HTTP服务器组件5.3版本内存在安全漏洞,可允许远程攻击者执行任意命令。

安全建议:

IBM已经为此发布了一个安全公告(swg21620945)以及相应补丁:
swg21620945:Security vulnerability in IBM HTTP Server for z/OS Version 5.3 (PM79239)
链接:
http://www-01.ibm.com/support/docview.wss?&uid=swg21620945

3.4 Zend Framework 'Zend_Feed'组件信息泄露漏洞

Zend Framework 'Zend_Feed'组件信息泄露漏洞

发布时间:

2012-12-21

漏洞号:

BUGTRAQ ID: 56982

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.11.15、1.12.1之前版本的Zend_Feed_Rss、Zend_Feed_Atom类由于使用了不安全的PHP DOM扩展,其"Zend_Feed"组件在处理xml数据时存在漏洞,通过发送包含有外部实体引用的特制XML数据,攻击者可利用此漏洞打开任意文件,最终导致了本地文件信息泄露漏洞。

安全建议:

Zend已经为此发布了一个安全公告(ZF2012-05)以及相应补丁:
ZF2012-05:ZF2012-05: Potential XML eXternal Entity injection vectors in Zend Framework 1 Zend_Feed component
链接:
http://framework.zend.com/security/advisory/ZF2012-05

3.5 Microsoft Internet Explorer特制HTML栈溢出拒绝服务漏洞

Microsoft Internet Explorer特制HTML栈溢出拒绝服务漏洞

发布时间:

2012-12-20

漏洞号:

BUGTRAQ ID: 57002

漏洞描述:

Microsoft Internet Explorer是微软公司推出的一款网页浏览器。
Microsoft Internet Explorer在实现上存在安全漏洞,可导致受影响浏览器崩溃,造成拒绝服务。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/ie/default.asp