sisiwc

Mozilla Firefox多个漏洞【2008-03-26发布】

来源: secunia.com

软件名: Mozilla Firefox 2.0.x

描述

1)处理 "XPCNativeWrappers"时的不特定错误，可通过[url=]"setTimeout()[/url]"调用来执行用户权限的任意Javascript代码

2)处理Javascript时的多个错误可进行跨站脚本攻击或执行任意代码

3)布局引擎中的多个错误可导致内存崩溃

4)Javascript引擎中的多个错误可导致内存崩溃

5)发送HTTP "Referer:"头信息请求到包含[url=]"Basic[/url] Authentication"验证的URL时存在空用户名，这可进行跨站点请求伪造

6)在建立与webserver请求的SSL客户端认证时Firefox提供了之前设置的私有SSL验证，这可通过恶意的webserver泄露敏感信息

7)处理"jar:"协议时的错误可在本地计算机上建立对任意端口的连接

8)显示XUL弹出窗口时的错误可隐藏窗口边栏，容易引发钓鱼攻击

该漏洞在v2.0.0.13之前的版本中已经报告

解决方案

更新到v2.0.0.13

*******************************************************************************

WinRAR 多个漏洞【2008-03-19报告】

来源: secunia.com

软件名: WinRAR 3.x

描述

处理文档时存在不确定错误，这可通过特定的文档导致堆崩溃和堆栈缓冲溢出

溢出成功后可执行代码

该漏洞在V3.71之前的版本中已经报告

解决方案

更新到V3.71

林卯WinRar……用盗版的那些人怎么更新？再下载一个新盗版？万一新盗版也有病毒……我建议后面的解决方案加个换7-zip：http://baike.360.cn/4004079/2677731.html。





*******************************************************************************

Microsoft IE 7 setRequestHeader()函数多个请求拆分/渗透漏洞

来源: secunia.com

软件名: Microsoft Internet Explorer 7.0.5730.11 - Microsoft Windows XP SP2

描述

IE 7允许通过"setRequestHeader()"修改特定头信息，这可通过设置"Transfer-Encoding"头信息为"chunked"以注入任意HTTP请求或重写特定头信息(例如"Content-Length", "Host",和"Referer")

该漏洞在version 7.0.5730.11中已经报告，其它版本也可能受到影响

解决方案

不要浏览不可信网址

目前厂商还没有提供补丁或者升级程序，请关注微软主页

*******************************************************************************

Microsoft 安全公告 MS08-010 – 严重【2008-02-14发布】

Internet Explorer 的累积性安全更新 (944533)

来源: Microsoft.com

软件名

Microsoft Internet Explorer 5.01

Microsoft Internet Explorer 6.x

Microsoft Internet Explorer 7.x

描述

Internet Explorer 解释带有特定布局组合的 HTML 的方式中存在一个远程执行代码漏洞。攻击者可以通过构建特制的网页来利用该漏洞。当用户查看网页时，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

Internet Explorer 处理属性方法的方式中存在一个远程执行代码漏洞。攻击者可以通过构建特制的网页来利用该漏洞。当用户查看网页时，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

Internet Explorer 在图像处理过程中处理参数验证的方式中存在一个远程执行代码漏洞。攻击者可以通过构建特制的网页来利用该漏洞。当用户查看网页时，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

Microsoft Fox Pro 的某个组件中存在一个远程执行代码漏洞。攻击者可以通过构建特制的网页来利用该漏洞。当用户查看网页时，该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。

对于所有受支持的 Internet Explorer 版本，该安全更新的等级为“严重”。

该安全更新通过修改 Internet Explorer 处理 HTML 并验证数据的方式以及为 ActiveX 控件设置 kill bit 来消除这些漏洞。

解决方案

使用360漏洞扫描，修复漏洞

或者：

中文

Windows 2000 SP4 and Internet Explorer 5.01 SP4:

http://www.microsoft.com/downloa ... f-8c1c-5e54c2832e41

Windows 2000 SP4 and Internet Explorer 6 SP1:

http://www.microsoft.com/downloa ... 4-8754-829b4e190359

Windows XP SP2 and Internet Explorer 6:

http://www.microsoft.com/downloa ... 0-ab20-2a51f8e17554

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 6:

http://www.microsoft.com/downloa ... 6-90ec-929d24f3b409

Windows Server 2003 SP1/SP2 and Internet Explorer 6:

http://www.microsoft.com/downloa ... a-b834-d0f3c69cb703

Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 6:

http://www.microsoft.com/downloa ... 7-a830-d7bdf7659392

Windows XP SP2 and Internet Explorer 7:

http://www.microsoft.com/downloa ... c-b128-876f516bd030

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 7:

http://www.microsoft.com/downloa ... 5-aef6-82195b380153

Windows Server 2003 SP1/SP2 and Internet Explorer 7:

http://www.microsoft.com/downloa ... 6-be1b-53426a0ff4a9

英文

Windows 2000 SP4 and Internet Explorer 5.01 SP4:

http://www.microsoft.com/downloa ... F-8C1C-5E54C2832E41

Windows 2000 SP4 and Internet Explorer 6 SP1:

http://www.microsoft.com/downloa ... 4-8754-829B4E190359

Windows XP SP2 and Internet Explorer 6:

http://www.microsoft.com/downloa ... 0-AB20-2A51F8E17554

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 6:

http://www.microsoft.com/downloa ... 6-90EC-929D24F3B409

Windows Server 2003 SP1/SP2 and Internet Explorer 6:

http://www.microsoft.com/downloa ... A-B834-D0F3C69CB703

Windows Server 2003 x64 Edition (optionally with SP2) and Internet Explorer 6:

http://www.microsoft.com/downloa ... 7-A830-D7BDF7659392

Windows Server 2003 with SP1/SP2 for Itanium-based systems and Internet Explorer 6:

http://www.microsoft.com/downloa ... 0-B13F-337C5FD14E24

Windows XP SP2 and Internet Explorer 7:

http://www.microsoft.com/downloa ... C-B128-876F516BD030

Windows XP Professional x64 Edition (optionally with SP2) and Internet Explorer 7:

http://www.microsoft.com/downloa ... 5-AEF6-82195B380153

Windows Server 2003 SP1/SP2 and Internet Explorer 7:

http://www.microsoft.com/downloa ... 6-BE1B-53426A0FF4A9