2013年4月份十大重要安全漏洞

发布时间:2013-05-23 16:06 作者:佚名来源:中国计算机安全点击:次

1. 2013-04-03 Mozilla Firefox/Thunderbird/SeaMonkey 多个未指明漏洞

Mozilla Firefox/Thunderbird/SeaMonkey 多个未指明漏洞

综述：Mozilla Firefox 20.0 之前版本, Firefox ESR 17.0.5 之前的 17.x 版本, Thunderbird 17.0.5 之前版本, Thunderbird ESR 17.0.5 之前的 17.x 版本, 和 SeaMonkey 2.17 之前版本的浏览器引擎存在多个未指明漏洞，允许远程攻击者通过多个向量引起拒绝服务(内存破坏和应用程序崩溃)或可能执行任意代码。

2. 2013-04-03 Mozilla Firefox / Thunderbird / SeaMonkey 权限许可和访问控制漏洞

Mozilla Firefox / Thunderbird / SeaMonkey 权限许可和访问控制漏洞

综述：Mozilla Firefox 20.0 之前版本，Firefox ESR 17.0.5 之前的17.x 版本，Thunderbird 17.0.5 之前版本，Thunderbird ESR 17.0.5 之前的 17.x 版本，以及SeaMonkey 2.17 之前版本的 System Only Wrapper (SOW) 实现，不能限制使用 cloneNode 方法克隆受保护节点，允许远程攻击者通过构造的网站绕过同源策略或可能以chrome权限执行任意 JavaScript 代码。

3. 2013-04-04 PostgreSQL 设计错误漏洞、密码泄露漏洞

PostgreSQL 设计错误漏洞、密码泄露漏洞

综述：PostgreSQL, 9.2.4 之前的 9.2.x 版本,9.1.9 之前的 9.1.x 版本,9.0.13 之前的 9.0.x 版本,8.4.17 之前的 8.4.x 版本,8.3.23 之前的 8.3.x 版本，会产生带有可预测文件名的不安全的临时文件，允许攻击者通过与“Linux 和 Mac OS X的图形安装程序”有关的未知攻击向量造成未知影响。PostgreSQL, 可能在 9.2.4 之前的 9.2.x 版本,9.1.9 之前的 9.1.x 版本,9.0.13 之前的 9.0.x 版本,8.4.17 之前的 8.4.x 版本,8.3.23 之前的 8.3.x 版本，不正确地将超级用户密码提供给了与“Linux 和 Mac OS X的图形安装程序”有关的脚本，允许攻击者通过未知攻击向量造成未知影响。

4. 2013-04-09 Microsoft Internet Explorer 释放后使用漏洞(MS13-028)

Microsoft Internet Explorer 释放后使用漏洞(MS13-028)

综述：Microsoft Internet Explorer 6 至 10 存在释放后使用漏洞，允许远程攻击者通过构造的会触发访问已删除对象的网站，即可执行任意代码，即“Internet Explorer 释放后使用漏洞”。

5. 2013-04-09 Microsoft Remote Desktop Connection Client 远程代码执行漏洞(MS13-029)

Microsoft Remote Desktop Connection Client 远程代码执行漏洞(MS13-029)

综述: Microsoft Remote Desktop Connection Client 6.1 和 7.0 版本的 mstscax.dll 中的 Remote Desktop ActiveX 控件，允许远程攻击者通过会触发访问已删除对象的网页即可执行任意代码，并允许远程 RDP 服务器通过会触发访问已删除对象的向量即可执行任意代码，即“RDP ActiveX 控件远程代码执行漏洞”。

6. 2013-04-10 Adobe Shockwave Player 缓冲区溢出漏洞、任意代码执行漏洞、安全绕过漏洞

Adobe Shockwave Player 缓冲区溢出漏洞、任意代码执行漏洞、安全绕过漏洞

综述: Adobe Shockwave Player 12.0.2.122 之前版本允许攻击者通过未知向量执行任意代码或引起拒绝服务(内存破坏)，或不能正确限制地址信息访问，使攻击者更容易通过未知向量绕过 ASLR 保护机制。

7. 2013-04-16 Google Chrome OS 插件释放后使用漏洞

Google Chrome OS 插件释放后使用漏洞

综述：Google Chrome OS 26.0.1410.57 之前的版本中的O3D插件存在释放后使用漏洞。远程攻击者利用该漏洞可引起拒绝服务或者其他可能得未知的影响。此漏洞源于 Elements 和 DrawElements 之间的所有权关系管理不当。

8. 2013-04-17 Oracle Java SE 未指明漏洞

Oracle Java SE 未指明漏洞

综述：Oracle Java SE 7 Update 17 及更早版本, 6 Update 43 及更早版本,5.0 Update 41 及更早版本中的Java Runtime Environment (JRE)子组件存在未指明的漏洞。该漏洞允许远程攻击者通过相关未知向量进行攻击，从而影响JRE的完整性、可用性和机密性。

9. 2013-04-19 Opera 未指明漏洞

Opera 未指明漏洞

综述：Opera 12.15 之前版本存在未指明漏洞，被攻击者利用可能存在未知影响和攻击向量。

10. 2013-05-01 VMware vCenter Server Appliance (vCSA) 权限获取漏洞、任意代码执行漏洞

VMware vCenter Server Appliance (vCSA) 权限获取漏洞、任意代码执行漏洞

综述：VMware vCenter Server Appliance (vCSA) Update 1 之前的 5.1 版本，允许远程认证用户通过利用 Virtual Appliance Management Interface (VAMI) 访问获取根权限，即可执行任意程序。VMware vCenter Server Appliance (vCSA) Update 1 之前的 5.1 版本，允许远程认证用户，通过利用 Virtual Appliance Management Interface (VAMI) web接口访问创建或重写任意文件，并可以执行任意代码或引起拒绝服务。

(责任编辑：)