科学数据库门户
您当前的位置是:
 | 
搜索   在 
 首页
新闻中心
漏洞数据
服务公告
服务案例
使用指南
关于本库
T-DB
 
漏洞月报
2012年1月份十大重要安全漏洞
发布日期:2/1/2012 12:00:00 AM
文章来源:nipc
 
1.2012-01-10 Windows 内核SafeSEH绕过漏洞(MS12-001)

综述:Microsoft Windows XP SP2,Windows Server 2003 SP2,Windows Vista SP2,Windows Server 2008 SP2/ R2/ R2 SP1及Windows 7 Gold/ SP1的内核不能正确加载结构异常的处理表,允许相关攻击者利用一个Visual C++ .NET 2003应用绕过SafeSEH安全功能,即“Windows 内核SafeSEH绕过漏洞”。



2.2012-01-10 Microsoft DirectShow 远程代码执行漏洞(MS12-004)

综述:Microsoft Windows XP SP2/ SP3,Windows Server 2003 SP2,Windows Vista SP2,Windows Server 2008 SP2/ R2/ R2 SP1,及 Windows 7 Gold/ SP1的 DirectX接口的DirectShow存在未指明漏洞,允许远程攻击者通过构造的与Quartz.dll,Qdvd.dll,隐藏字幕,和 Line21 DirectShow filter有关的多媒体文件即可执行任意代码,即“DirectShow远程代码执行漏洞”。Microsoft Office 2003 SP3和2007 SP2存在非信任搜索路径漏洞,允许本地用户通过当前工作目录木马DLL库文件获取权限。例如一个包含.doc, .ppt, or .xls 文件的目录,亦即Office组件不安全库文件加载漏洞。



3.2012-01-10 Microsoft Windows 程序集执行漏洞(MS12-005)

综述:Microsoft Windows XP SP2/ SP3,Windows Server 2003 SP2,Windows Vista SP2,Windows Server 2008 SP2/ R2/ R2 SP1,及Windows 7 Gold/ SP1存在不完全黑名单漏洞,允许远程攻击者通过在Microsoft Office文档中构造的ClickOnce应用执行任意代码,与.application files有关,即“程序集执行漏洞”。目前厂商已经发布了相应的更新补丁。




4.2012-01-12 Google Chrome 修复多个未指明漏洞)

综述: Google Chrome 17.0.963.27之前的版本在Acer AC700,Samsung Series 5,和 Cr-48 Chromebook等平台存在多个未指明漏洞,存在位置影响和攻击向量。应对措施详见参考链接。



5.2012-01-13 HP StorageWorks 目录遍历漏洞

综述:HP StorageWorks P2000 G3 MSA阵列系统存在一个默认账户,使远程攻击者更容易通过未知向量执行管理任务,区别于漏洞CVE-2011-4788。应对措施详见参考链接。



6.2012-01-18IBM SPSS SamplePower代码执行漏洞

综述:IBM SPSS SamplePower 3.0的VsVIEW6.ocx的VsVIEW6 ActiveX控件中,(1) PrintFile和(2) SaveDoc方法存在多个未指明漏洞,允许远程攻击者通过精心构造的HTML文档执行任意代码。



7.2012-01-19Cisco TelePresence Software访问控制绕过漏洞

综述:Cisco IP Video Phone E20的Cisco TelePresence Software TE 4.1.1之前的版本在更新到TE 4.1.0后root账户具有默认的密码,导致远程攻击者可以通过SSH会话修改配置



8.2012-01-19Cisco Digital Media Manager代码执行漏洞

综述:Cisco Digital Media Manager 5.2.2以及之前版本,5.2.3版本允许远程认证用户通过涉及URL和管理资源有关的向量执行任意代码



9.2012=01-23IBM Lotus Symphony整数溢出漏洞

综述:IBM Lotus Symphony 3.0.1之前版本的visual class library module的vclmi.dll存在多个整数溢出漏洞,允许远程攻击者通过Symphony文档中嵌入的(1)JPEG或者(2)PNG图片对象触发堆缓冲区溢出,从而执行任意代码。该漏洞已通过.doc文件证实。



10.2012-01-27 Microsoft Windows组件不安全库加载漏洞(MS11-071)

综述:Android 至2.2.2的2.2.x版本,至2.3.6的2.3.x版本的 libsysutils存在栈缓冲区溢出漏洞,允许用户协助式远程攻击者通过使用错误数量的参数调用FrameworkListener::dispatchCommand方法的应用程序执行任意代码,该漏洞已被zergRush证实用于触发对象释放后使用错误。

点击次数:820
修改日期:2/1/2012 12:00:00 AM
 
友情链接