網路安全組織通報OS X存在7項安全漏洞,遠端攻擊者可以利用漏洞執行任意代碼或觸發拒絕服務攻擊。第1個漏洞是Safari的KWQListIteratorImpl::KWQListIteratorImpl(),QPainter::drawText (),objc_msgSend_rtp()等函數存在溢位問題;其餘問題分別是BOMStackPop()、ReadBMP()、等函數在處理ZIP、BMP、GIF與TIFF檔案時也存在緩衝溢位問題,已知這些漏洞會影響OS X 10.3~10.4.6各版,目前Apple尚未推出修補程式。
Internet Explorer
網路安全研究人員通報微軟IE瀏覽器在處理HTML中的OBJECT tag時,含有一項緩衝區溢位漏洞,攻擊者若再配合於惡意網頁中賦予隨意的type參數,即可侵入用戶電腦並任意執行程式碼,微軟尚未發布修補程式。
更新程式
Symantec AntiVirus
Symantec發布SYM06-008安全通報與AntiVirus Scan Engine 3.51版更新程式,修補了3.50版以前的多個安全漏洞。第1個漏洞是Web管理介面的Java Applet驗證機制被繞過,導致系統遭非授權用戶控制的問題。第2個漏洞是用於保護TCP 8005埠的SSL金鑰存在問題,通過此埠的資料在使用SSL保護時,每個Scan Engine使用的私有DSA金鑰都完全相同,而且這個金鑰可以很容易的從產品中得到,又不能被個別的終端用戶自行更改。獲得此金鑰將能截獲和解密用戶8005埠的所有通信內容。最後1個漏洞是Scan Engine存放在在WEB ROOT目錄中的檔案可被未經驗證的用戶獲得。
Mozilla
Mozilla發布旗下Firefox、Thunderbird與SeaMonkey等多款產品的安全更新,修補了Firefox和Thunderbird沒有正確地處理CSS letter-spacing導致緩衝區溢位、攻擊者利用crypto.generateCRMFRequest方式非法提升權限、繞過js_ValueToFunctionObject()函數的安全驗證、nsHTMLContentSink.cpp解析特製序列的HTML標簽時導致記憶體資料破損毀等十多個安全漏洞。
熱門新聞
2025-02-24
2025-02-24
2025-02-23
2025-02-21