安全漏洞公告

1.Microsoft Windows内核'Win32k.sys'本地权限提升漏洞

Microsoft Windows内核'Win32k.sys'本地权限提升漏洞

发布时间:

2014-03-11

漏洞编号:

BUGTRAQ ID: 66003CVE(CAN) ID: CVE-2014-0300

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。Windows内核模式驱动程序没有正确处理内存对象,在实现上存在权限提升漏洞。恶意利用后可导致权限提升并读取任意大小的内核内存。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-015)以及相应补丁:MS14-015:Vulnerabilities in Windows Kernel-Mode Driver Could Allow Elevation of链接:http://technet.microsoft.com/security/bulletin/MS14-015

2 Microsoft DirectShow 远程代码执行漏洞

Microsoft DirectShow 远程代码执行漏洞

发布时间:

2014-03-11

漏洞编号:

BUGTRAQ ID: 66045 CVE(CAN) ID: CVE-2014-0301

漏洞描述:

DirectShow是微软公司在ActiveMovie和Video for Windows的基础上推出的新一代基于COM(Component Object Model)的流媒体处理开发包,与DirectX开发包一起发布。Microsoft DirectShow在解析JPEG图形时存在安全漏洞,可被恶意利用造成内存破坏。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-013)以及相应补丁:MS14-013:Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (2929961)链接:http://technet.microsoft.com/security/bulletin/MS14-013

3 PHP Fileinfo组件越界内存破坏漏洞

PHP Fileinfo组件越界内存破坏漏洞

发布时间:

2014-03-10

漏洞编号:

BUGTRAQ ID: 66002CVE(CAN) ID: CVE-2014-2270

漏洞描述:

PHP是一种HTML内嵌式的语言。PHP的file程序在解析可移植执行体(PE)格式文件时在实现上存在内存破坏漏洞,成功利用该漏洞后可使远程攻击者执行任意代码或造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php http://bugs.gw.com/view.php?id=313https://github.com/glensc/file/commit/447558595a3650db2886cd2f416ad0beba965801

4 Apache Struts ClassLoader Manipulation安全限制绕过

Apache Struts ClassLoader Manipulation安全限制绕过

发布时间:

2014-03-10

漏洞编号:

BUGTRAQ ID: 65999CVE(CAN) ID: CVE-2014-0094

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。 Apache Struts versions 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本的,该版本在实现上存在拒绝服务漏洞,附加的ParametersInterceptor允许访问 'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。

安全建议:

Apache Group已经为此发布了一个安全公告(S2-020)以及相应补丁:S2-020:S2-020链接:https://struts.apache.org/release/2.3.x/docs/s2-020.html 补丁下载:http://struts.apache.org/download.cgi#struts23161

5 Wireshark多个漏洞

Wireshark多个漏洞

发布时间:

2014-03-10

漏洞编号:

CVE(CAN) ID:CVE-2014-2281,CVE-2014-2282,CVE-2014-2283,CVE-2014-2299

漏洞描述:

Wireshark是最流行的网络协议解析器。Wireshark在NFS解析器、M3UA解析器、RLC解析器、MPEG文件解析器在实现上存在错误,可被恶意利用造成拒绝服务,也有可能执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.wireshark.orghttp://www.wireshark.org/docs/relnotes/wireshark-1.8.13.htmlhttp://www.wireshark.org/docs/relnotes/wireshark-1.10.6.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-01.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-02.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-03.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-04.html

====================================

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2014-03-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张戈的专栏

自动管理员身份执行小工具—asroot

推荐使用的典型环境: 用户为普通帐号,没有管理员权限,但又必须取得程序安装权限,比如产线作业员需要时常更新驱动: 为了安全而使用普通帐号的个人电脑 还记得记得以...

38590
来自专栏后端云

实时操作系统

一般的linux都是GPOS(通用)内核。GPOS是不保证实时的,但是对于大多数应用程序来说是没有问题的。GPOS可以充分利用物理资源。但在实时性要求性比较高的...

37170
来自专栏FreeBuf

渗透测试:内网DNS投毒技术劫持会话

本文仅供渗透测试技术学习及教学用途,禁止非法使用 最近一段时间一直在研究内网中嗅探的一些方法,各种方式的尝试,才找到一个比较靠谱的一种方式。dns投毒与中间人。...

36460
来自专栏c#开发者

企业库推广

企业库推广  阿新 1. 概述 可重用的程序块库,用于解决共性的企业级开发过程中所面临的挑战 l 较低风险(经过实践验证的、精准的) l 降低成本(可充用) ...

368130
来自专栏IT米粉

IntelliJ IDEA插件——冷门神器分享

IntelliJ IDEA就不必介绍了,至今还能保持IDE前三的神器,如今java程序员的首选,今天介绍几款冷门但绝对是神器的IDEA插件。 前言 IDEA自不...

56960
来自专栏Linyb极客之路

使用lazyInit缩短Spring Boot启动时间

Spring Boot可以进行有助于相关针对项目的设置,包括最常见的默认设置和随时可用的配置,这无疑是很棒的,因为它节省了宝贵的时间 然而,对于框架的新手来说,...

1.4K70
来自专栏FreeBuf

小心Windows旧版认证暴露你的系统帐户密码

当你正用浏览器访问网站时,Windows的一个古老漏洞就可能泄露了你电脑的用户名密码、微软登录信息,甚至还有你VPN的账号密码。 多年以前当Windows还在使...

272100
来自专栏java学习

【干货来了】!Oracle及普通软件卸载详解!

电脑用的久了,里面的软件安装也会越来越多,但总有一些软件在使用过程中,甚至我们安装的过程中出现或多或少的问题,导致我们总是装了卸,卸了装(老实说,有时候纠结症都...

16510
来自专栏三木的博客

使用gerrit作为代码评审工具

需求描述 其实作为项目代码的maintainer,一直习惯于mailing list + git的代码评审及管理,无奈公司主推敏捷+devops,老板让改用ge...

39460
来自专栏Pythonista

震惊!最全PyCharm教程

PyCharm是一个用于计算机编程的集成开发环境(IDE),主要用于Python语言开发,由捷克公司JetBrains开发,提供代码分析、图形化调试器,集成测试...

39330

扫码关注云+社区

领取腾讯云代金券