国家计算机网络入侵防范中心12日发布安全漏洞周报说,5日至11日一周内共发现安全漏洞140个,其中高危漏洞114个,安全漏洞总量与前一周相比大幅上升。
中心常务副主任张玉清说,上周漏洞最值得关注的是APPLE公司公布了其旗下产品的多个漏洞,包括WEBKIT引擎框架在IOS系统或ITUNES中使用时存在大量的任意代码执行漏洞,以及IOS存在整数下溢漏洞和格式化字符串漏洞等。
其中,当WEBKIT在IOS系统和ITUNES中使用时,允许远程攻击者通过精心构造的网站或其他向量来执行任意代码或引起拒绝服务。
ANDROID系统中的大量手机应用也被发现存在未指明漏洞,其中包括多款国内应用,例如网易微博、有道词典等,目前厂商还未针对这些漏洞发布更新补丁。
此外,还有GOOGLE发布了CHROME浏览器的一个任意代码执行漏洞,其旧版本的扩展子系统没有正确处理历史导航,导致远程攻击者可以通过利用“UNIVERSAL XSS(UXSS)”问题执行任意代码。
ADOBE公司也公布了FLASH PLAYER的一个任意代码执行漏洞,其MATRIX3D 组件允许远程攻击者通过未知向量执行任意代码或引起拒绝服务(内存破坏)。
针对上述漏洞,除ANDROID应用的未指明漏洞以外,厂商已针对这些漏洞发布了安全公告和更新补丁,建议用户做好安全防护,及时更新,防止黑客攻击