文/绿盟

　　声明：本十大安全漏洞由NSFOCUS安全小组根据安全漏洞的严重程度、影响范围等因素综合评出，仅供参考。

 
　　1、Microsoft Windows GDI+ JPG解析组件缓冲区溢出漏洞

　　综述:

　　Microsoft Windows图形设备接口(GDI+)是为用户提供在屏幕和打印机上显示信息的API。GDI+也能处理JPEG图象文件。

　　GDI+ (Gdiplus.dll)在处理畸形JPEG文件时存在缓冲区溢出，远程攻击者可以利用这个漏洞构建恶意JPEG文件，以用户进程权限在系统上执行任意指令。

　　Microsoft报告Windows XP、Windows XP Service Pack 1和Windows Server 2003操作系统下的组件存在此问题，由于兼容性问题，部分第三方应用程序安装了这些受影响的组件，包括Office XP, Visio 2002、Project 2002、Office 2003、Visio 2003和Project 2003。如果这些应用程序安装在系统上，并且使用Windows XP、Windows XP Service Pack 1或Windows Server 2003操作系统，用户必须安装此补丁。

　　必须注意的是第三方的应用程序，只要安装受此漏洞影响的组件，任何应用程序使用Gdiplus.dll处理JPEG图象，就会受到此漏洞攻击。

　　远程攻击者可以通过构建特殊的JPEG文件，通过WEB连接，EMAIL附件等形式，诱使用户处理，来触发此漏洞。目前已经有攻击资源管理器的攻击代码发布，利用IE进行攻击也是可能的。

　　危害:

　　远程攻击者通过诱使用户访问恶意JPG图片来在用户系统上执行任意代码。

　　2、Oracle 存在多个安全漏洞

　　综述:

　　Oracle Database是一款商业性质大型数据库系统。

　　Oracle数据库存在多个缓冲区溢出和拒绝服务问题，远程攻击者可以利用这个漏洞控制数据库或进行拒绝服务攻击。

　　多个组织发现Oracle数据库和应用服务程序存在多个漏洞，其中范围包括缓冲区溢出，PL/SQL注入，字符集转换错误和拒绝服务攻击。具体漏洞信息可参看如下地址获得：www.appsecinc.com/resources/alerts/oracle/2004-0001/

　　建议Oracle用户立刻安装最新的安全补丁。

　　危害:

　　远程攻击者可以以Oracle数据库运行身份执行任意指令或进行拒绝服务攻击。

　　3、Microsoft WordPerfect转换器远程缓冲区溢出漏洞

　　综述:

　　Microsoft Office提供多个转换器允许用户导入和编辑原来不属于Office格式的文件。这些转换器是Office默认安装的一部分，也可以独立存在于Microsoft Office Converter Pack中，这些转换器可以方便的应用于Office早期版本和其他应用系统复杂的环境中，包括Macintosh和第三方应用程序。

[1] [2] [3] [4] 下一页