1、IE浏览器对象处理内存破坏漏洞(MS08-078)
(1)该漏洞对应CVE编号:CVE-2008-4844
(2)影响系统:
-
Microsoft Internet Explorer 5.01
-
Microsoft Internet Explorer 6
-
Microsoft Internet Explorer 7
(3)漏洞信息:
IE浏览器的数据绑定功能中存在一个远程执行代码漏洞(作为有效的指针引用)。当数据绑定处于启用状态(系统默认状态是启用的)时,某些情况下系统会发布对象而不更新数组长度,这就使得程序有机会访问已删除对象的内存空间。这可能导致 Internet Explorer 处于可利用状态并意外退出。攻击者可以通过构建特制的网页来利用该漏洞。当用户查看网页时,该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。
(4)漏洞风险分析:
目前利用该漏洞的网页木马程序正在网络上大面积的泛滥。当用户使用了未修补漏洞的IE浏览器访问包含有此类攻击代码的网页时漏洞就会被利用,这可能导致IE浏览器自动下载大量的其他木马程序在系统上运行。虽然几乎所有版本的IE浏览器都存在这个漏洞,但是目前网络利用最多的还是针对IE7.0版本的攻击程序。另外一个值得注意的地方是这些包含攻击程序的网页并不一定需要用户点击相关的链接才能被利用。它还可以通过其他一些手段来激发漏洞,如通过向Word文档中植入ActiveX控件,而控件中附带着链接木马网页的命令,一旦用户打开这种特制的word文档浏览器就会自动链接到木马网站。
(5)解决办法:
厂商已经针对该漏洞发布了相应的安全公告和补丁程序,建议用户尽快安装相应的补丁程序,您可以通过windows的自动update功能或者是WSUS服务自动更新补丁程序,也可以手动下载补丁程序安装,补丁下载地址:http://www.microsoft.com/china/technet/security/bulletin/ms08-078.mspx
2、SQL Server 中的漏洞可能允许远程执行代码(961040)
(1)CVE编号:CVE-2008-5416
(2)影响系统:
-
Microsoft SQL Server 2000 Service Pack 4
-
Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4
-
Microsoft SQL Server 2005 Service Pack 2
-
Microsoft SQL Server 2005 x64 Edition Service Pack 2
-
Microsoft SQL Server 2005 with SP2(用于基于 Itanium 的系统)
-
Microsoft SQL Server 2005 Express Edition Service Pack 2
-
带Advanced Services Service Pack 2 的 Microsoft SQL Server 2005 Express Edition
-
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
-
Microsoft SQL Server 2000 Desktop Engine (WMSDE)
-
Windows Internal Database (WYukon) Service Pack 2
(3)漏洞信息:
SQL Server的sp_replwritetovarbin扩展存储过程中存在堆溢出漏洞。如果远程攻击者在参数中提供了未初始化变量的话,就可以触发这个溢出,向可控的位置写入内存数据,导致以有漏洞SQL Server进程的权限执行任意代码。在默认的配置中,任何用户都可以访问sp_replwritetovarbin过程。通过认证的用户可以通过直接的数据库连接来利用这个漏洞。另外这个漏洞可以通过SQL注入攻击直接利用。
(4)漏洞风险分析:
漏洞的攻击代码已经在网络上被公布,这个漏洞对那些使用SQL Server作为数据库的网站服务器影响较大,虽然漏洞信息显示需要有一个有效的用户连接才能利用该漏洞。但是针对那些有SQL注入漏洞的网站来说,攻击者可以通过网页SQL注入攻击来利用该漏洞,攻击成功后可以以网页数据库用户的权限在系统上执行任意操作。
(5)解决办法:
目前厂商还没有提供相应的补丁程序,建议用户随时关注厂商的更新信息。在没有补丁前您可以使用一些临时的设置来缓解该漏洞的风险,临时解决办法请参见:http://www.microsoft.com/china/technet/security/advisory/961040.mspx
3、微软写字板文件转换器远程代码执行漏洞
(2)影响系统:
-
Microsoft Windows XP SP3
-
Microsoft Windows XP SP2
-
Microsoft Windows Server 2003 SP2
-
Microsoft Windows Server 2003 SP1
-
Microsoft Windows 2000SP4
(3)漏洞信息:
写字板是Windows操作系统中附件所提供的简单文本编辑工具。对于没有安装Word的用户,可以使用写字板的文本转换器来打开.doc格式文档。写字板程序中存在一个漏洞,如果用户使用转换器打开了特制的.doc、.wri或.rtf格式文档的话,就可能触发内存破坏,导致执行任意代码。目前该漏洞已经开始在网络上被利用。
(4)漏洞风险分析:
漏洞的攻击程序已经在网络上发布了。这个漏洞对那些没有安装office软件的系统(这些系统往往是一些有专用功能的服务器,如web服务器)影响较大。因此用户应该尽量避免在服务器上做一些无关的操作。
(5)解决办法:
厂商目前还没有提供该漏洞的相关信息和补丁程序,我们建议用户随时关注厂商的更新。在没有补丁的情况下,建议用户对一些来历不明的文档持谨慎态度。
4、Mozilla Firefox 最新版本修复多个安全漏洞
(2)影响版本:
-
Mozilla Firefox < 3.0.5
-
Mozilla Firefox < 2.0.0.19
-
Mozilla Thunderbird < 3.0.5
-
Mozilla SeaMonkey < 1.1.14
(3)漏洞信息:
Mozilla Firefox发布了最新版本的Firefox浏览器来修复之前版本中存在的多个漏洞,这些漏洞可能导致执行任意代码、泄露敏感信息、本地越权越权执行脚本、执行跨站脚本攻击和网络欺诈。
(4)漏洞风险分析:
目前firefox在市场占有率接近30%,由于其多数为用户自己安装,因此很难包含到整体的安全策略当中(无法使用windows的自动升级),用户不一定会及时升级,有可能会成为一些单位整个安全策略中的盲点。
(5)解决办法:
建议用户及时下在最新版本的Firefox安装。下载地址:http://www.mozilla.org/
5、Cisco 6509的IPV6 MLD功能的BUG(CSCsj16969)
(2)影响版本:
-
CISCO IOS < 12.2(18)SXF10
(3)漏洞信息:
根据中国科技大学张焕杰老师提供的消息,并参考网络上的信息证实CISCO 6500系列路由器的IPV6 MLD功能实现上存在一个错误,当接收到特定的MLD报文时可能导致路由器重起。
(4)漏洞风险分析:
IPv6网络正在各个高校加速部署,错误的MLD报文可能并不一定来源于恶意的攻击。
(5)解决办法:
升级IOS到最新的版本(12.2(18)SXF10)。
临时解决办法:在全局范围内关闭IPv6 MLD 监听功能,命令为
no ipv6 mld snooping
(6)参考连接: