Mac OS X對存在於ZIP壓縮檔案中「_MACOSX」資料夾的惡意resource forks及HFS meta-data的處理不適當,攻擊者可藉此引誘使用者開啟惡意的郵件附檔,或利用Safari預設為自動解壓縮檔案並開啟ZIP壓縮檔內容的設定,當Safari使用者瀏覽網頁時即可從遠端執行惡意的系統指令。已確認Mac OS X 10.4.5與Safari 2.0.3(417.8)存在此漏洞,Apple尚未釋出修補程式。
Microsoft Word
Microsoft Word 2003處理特定檔案時存在安全問題,遠端攻擊者可利用漏洞對應用程式進行拒絕服務攻擊,但目前還不清楚此漏洞是否可讓攻擊者在用戶系統上執行任意指令,微軟尚未公布漏洞細節與修補程式。
-更新程式-
Macromedia Shockwave Player
Macromedia發布修補程式修正Shockwave Player ActiveX Installer不適當處理某些超長參數所導致的堆疊溢位。攻擊者可透過架設內嵌有Shockwave內容的惡意網站,當使用者瀏覽時,會被提示要求安裝Shockwave Player,當使用者同意安裝後,即可導致緩衝區溢位發生,進而在系統上執行惡意程式碼。
Mozilla Firefox
Firefox的HTML解析引擎存在重大安全問題,在解析特定的HTML程式碼時會出現空指標引用,導致瀏覽器崩潰。已知Firefox 1.0.7以前各版都會受此漏洞影響,Mozilla已發布1.0.5.1版程式修正這個問題。
Mozilla Thunderbird
Mozilla發布Thunderbird 1.5版修正WYSIWYG渲染處理引擎JavaScript的安全漏洞,由於對JavaScript的過濾不充分,遠端攻擊者可在IFRAME的SRC屬性中寫入JavaScript,當用戶查看或回覆郵件時,即可導致插入的程式碼被自動執行,即使用戶在選項中關閉JavaScript功能也無法避免這個問題發生。
熱門新聞
2025-02-24
2025-02-24
2025-02-23
