1、Internet Explorer "Window()" 远程代码执行漏洞 公布日期: 2005.11.21 CVE号: CVE-2005-1790 风险等级: 紧急 影响系统: 安装用以下版本Internet Explorer的所有Windows操作系统: Microsoft Internet Explorer 5.5 Microsoft Internet Explorer 6.x 漏洞描述: Benjamin Tobias Franz发现了一个存在于Internet Explorer中的漏洞,利用这个漏洞,恶意的攻击者可以获得系统的控制权。 这个漏洞是由于在HTML的body标签装载事件发生时,如果调用了window()函数,有某些对象没有被正确初始化。攻击者通过特殊的JavaScript代码可以造成任意代码执行。 要利用这个漏洞,需要引诱用户使用IE访问存在问题的的恶意站点。目前已经有利用代码在网上公布。 解决方案: 目前微软还没有为这个漏洞提供补丁。用户可以采取以下措施来降低风险: 1、使用非特权用户帐户来登录来浏览网站。 2、在Internet选项的“安全”选项卡中,使用自定义级别来禁用“活动脚本”。 3、使用其他非IE内核的浏览器代替Internet Explorer。如Firefox、Opera等
2、Windows RPC内存泄漏导致拒绝服务 公布时间: 2005.11.16 CVE号: CAN-2005-3644 风险等级: 高 影响系统: Windows 2000 SP4 Windows XP SP1 漏洞描述: 在Windows的UPnP服务中的upnp_getdevicelist存在漏洞,导致远程攻击者可以通过构造恶意的RPC请求发动拒绝服务攻击(内存耗尽)。 解决方案: 1、目前微软还没有为这个漏洞发布补丁,请参考微软安全公告: http://www.microsoft.com/technet/security/advisory/911052.mspx 2、我们强烈建议您停止UPnP服务
3、IBM DB2 Content Manage多个拒绝服务漏洞 公布日期: 2005.11.10 CVE号: CAN-2005-3568 CAN-2005-3569 风险等级: 高 影响系统: IBM DB2 Content Manager 8.2 Fix Pack 9及之前的版本 漏洞描述: DB2 Content Manager 是 IBM 用于企业内容管理的解决方案的核心,它为管理、共享、重用和检索各种类型的数字内容提供了一个单独的、开放的和综合性的平台。 IBM DB2 Content Manager 8.2 Fix Pack 9及之前的版本存在多个拒绝服务漏洞。用户将一个恶意的EXEL文件导入成一个允许文本搜索的类型,当NSE试图对该文件进行索引时,db2fmp进程会陷入死循环。另外还存在多个未明的拒绝服务漏洞。 解决方案 升级到:IBM DB2 Content Manager 8.2 Fix Pack 10
上一页12下一页查看全文
内容导航
(编辑:ASP站长网)
|