安全漏洞公告
1.Microsoft Windows内核'Win32k.sys'本地权限提升漏洞
Microsoft Windows内核'Win32k.sys'本地权限提升漏洞 | |
|---|---|
发布时间: | 2014-03-11 |
漏洞编号: | BUGTRAQ ID: 66003CVE(CAN) ID: CVE-2014-0300 |
漏洞描述: | Windows是一款由美国微软公司开发的窗口化操作系统。Windows内核模式驱动程序没有正确处理内存对象,在实现上存在权限提升漏洞。恶意利用后可导致权限提升并读取任意大小的内核内存。 |
安全建议: | Microsoft已经为此发布了一个安全公告(MS14-015)以及相应补丁:MS14-015:Vulnerabilities in Windows Kernel-Mode Driver Could Allow Elevation of链接:http://technet.microsoft.com/security/bulletin/MS14-015 |
2 Microsoft DirectShow 远程代码执行漏洞
Microsoft DirectShow 远程代码执行漏洞 | |
|---|---|
发布时间: | 2014-03-11 |
漏洞编号: | BUGTRAQ ID: 66045 CVE(CAN) ID: CVE-2014-0301 |
漏洞描述: | DirectShow是微软公司在ActiveMovie和Video for Windows的基础上推出的新一代基于COM(Component Object Model)的流媒体处理开发包,与DirectX开发包一起发布。Microsoft DirectShow在解析JPEG图形时存在安全漏洞,可被恶意利用造成内存破坏。 |
安全建议: | Microsoft已经为此发布了一个安全公告(MS14-013)以及相应补丁:MS14-013:Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (2929961)链接:http://technet.microsoft.com/security/bulletin/MS14-013 |
3 PHP Fileinfo组件越界内存破坏漏洞
PHP Fileinfo组件越界内存破坏漏洞 | |
|---|---|
发布时间: | 2014-03-10 |
漏洞编号: | BUGTRAQ ID: 66002CVE(CAN) ID: CVE-2014-2270 |
漏洞描述: | PHP是一种HTML内嵌式的语言。PHP的file程序在解析可移植执行体(PE)格式文件时在实现上存在内存破坏漏洞,成功利用该漏洞后可使远程攻击者执行任意代码或造成拒绝服务。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php http://bugs.gw.com/view.php?id=313https://github.com/glensc/file/commit/447558595a3650db2886cd2f416ad0beba965801 |
4 Apache Struts ClassLoader Manipulation安全限制绕过
Apache Struts ClassLoader Manipulation安全限制绕过 | |
|---|---|
发布时间: | 2014-03-10 |
漏洞编号: | BUGTRAQ ID: 65999CVE(CAN) ID: CVE-2014-0094 |
漏洞描述: | Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。 Apache Struts versions 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本的,该版本在实现上存在拒绝服务漏洞,附加的ParametersInterceptor允许访问 'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。 |
安全建议: | Apache Group已经为此发布了一个安全公告(S2-020)以及相应补丁:S2-020:S2-020链接:https://struts.apache.org/release/2.3.x/docs/s2-020.html 补丁下载:http://struts.apache.org/download.cgi#struts23161 |
5 Wireshark多个漏洞
Wireshark多个漏洞 | |
|---|---|
发布时间: | 2014-03-10 |
漏洞编号: | CVE(CAN) ID:CVE-2014-2281,CVE-2014-2282,CVE-2014-2283,CVE-2014-2299 |
漏洞描述: | Wireshark是最流行的网络协议解析器。Wireshark在NFS解析器、M3UA解析器、RLC解析器、MPEG文件解析器在实现上存在错误,可被恶意利用造成拒绝服务,也有可能执行任意代码。 |
安全建议: | 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.wireshark.orghttp://www.wireshark.org/docs/relnotes/wireshark-1.8.13.htmlhttp://www.wireshark.org/docs/relnotes/wireshark-1.10.6.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-01.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-02.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-03.htmlhttps://www.wireshark.org/security/wnpa-sec-2014-04.html |
====================================