安全与更新

2013年12月第三周热门漏洞分析

2013-12-24

IrfanView Formats 插件远程代码执行漏洞


IrfanView是一款快速、免费的图像查看器、浏览器、转换器。FORMATS插件可允许IrfanView读取不常见图形格式。
IrfanView Formats插件'MrSID.dll'解析"levels"头时存在一个整数溢出,允许远程攻击者利用漏洞构建恶意文件,诱使用户解析,当用户解析该恶意文件时就会触发恶意代码执行,可向受害者主机植入木马并进行控制。


漏洞标识:

Bugtraq ID:64387


CVE ID:CVE-2013-3946

受影响系统:

IrfanView Formats PlugIn 4.x


苹果WebKit 存在内存破坏漏洞


Apple Safari是苹果系统自带浏览器。WebKit是一款开放源代码的浏览器引擎。Apple Safari所使用的WebKit存在一个内存破坏漏洞,允许远程攻击者构建特制的网页,诱使用户目标用户解析,当用户访问该特制的恶意网页时会触发恶意代码执行,可向受害者主机植入木马并进行控制。


漏洞标识:

Bugtraq ID:64359


CVE ID:CVE-2013-5198

受影响系统:

Apple Safari 6.x


Apple Safari 7.x


Apple Macintosh OS X


RealNetworks RealPlayer 基于堆的缓冲区溢出漏洞


RealNetworks RealPlayer是美国RealNetworks公司开发的一套媒体播放器产品。该产品提供下载/转换视频(在网页中)、编辑视频、管理媒体文件等功能。 RealNetworks RealPlayer 16.0.2.32和16.0.3.51版本中存在基于堆的缓冲区溢出漏洞。远程攻击者可利用该漏洞诱使用户打开特制的RMP文件,当用户访问该特制的恶意RMP文件时会触发恶意代码执行,可向受害者主机植入木马并进行控制。


漏洞标识:

Bugtraq ID:64398


CVE ID:CVE-2013-6877

受影响系统:

RealPlayer v16.0.2.32

RealPlayer v16.0.3.51


针对以上漏洞,厂家已紧急更新,请各位及时至各官网更新/升级软件,避免造成不必要的损失。


获得支持

国内技术服务电话:

400-630-6430

  • 未开通400电话的区域请拨打:

    0731-88726847

  • 邮件技术支持:

    support@sangfor.com.cn

  • 服务质量监督电话:

    0755-86336190