新闻 | 天津 | 民生 | 广电 | 津抖云 | 微视 | 读图 | 文娱 | 体育 | 图事 | 理论 | 志愿 | 专题 | 工作室 | 不良信息举报
教育 | 健康 | 财经 | 地产 | 天津通 | 旅游 | 时尚 | 购物 | 汽车 | IT | 亲子 | 会计 | 访谈 | 场景秀 | 发布系统

"津云"客户端
  您当前的位置 :北方网 > IT浪潮 > 滚动新闻 正文
关键词:

警告:暴风影音存在多个安全漏洞


http://www.enorth.com.cn  2007-09-18 18:57

  作者:赛门铁克

  随着现在多样化DV及数码相机中摄录的功能增多,消费者利用影音播放器与亲朋好友分享并播放个人生活片段的机会也越来越多。赛门铁克安全响应中心最近发现,在国内广受欢迎的中文媒体播放器“暴风影音”中存在多个缓冲充溢漏洞,其中一些正在被主动攻击。漏洞与“暴风影音”所使用的ActiveX控制插件有关,用户只需要浏览一个隐藏攻击代码的网站就有可能受到攻击。

  成功的攻击会允许任意代码对使用ActiveX控制插件(在此情况下即IE浏览器)的程序远程执行,让攻击者全面控制受到攻击的电脑。不成功的攻击可能会造成拒绝执行的情况,造成浏览器死机。

  漏洞已经确认在“暴风影音”2.8和2.9测试版中发现,其它版本有可能也会受到影响。赛门铁克Security Focus发布了代号为BID 25601的信息,该信息包括在厂家提供补丁之前的临时补救做法。赛门铁克还增加了针对漏洞的启发性检测Bloodhound.Exploit.160。

  赛门铁克提醒用户在尽情享受影音所带来的欢乐时,也别忘了注意网络安全,除了保持系统、病毒定义文件在最新状态外,更重要的是提升安全防护等级,选购诺顿网络安全特警,或诺顿360等具有双向防火墙及入侵检测功能的安全产品。

  赛门铁克在此提供用户的防护密技:

  不要打开来自未知或不受信任来源的链接

  为减少针对HTML电子邮件的利用,配置电子邮件客户端,将信息以文本形式体现

  以无特权用户(non-privileged)身份运行全部软件,保持最低的访问权限

  为减少隐性漏洞造成的影响,总是以无特权用户身份运行非管理员软件,保持最低访问权限

  部署网络入侵检测系统,监控网络流量防范恶意行为

  部署NIDS监控网络流量,监测异常或可疑行为

  设置Web浏览器安全检测,阻止执行脚本代码或活跃内容

  部署多重冗余层安全检测

  根据策略检查并调整默认设置

  暴风影音MPS.DLL ActiveX控件多个远程缓冲充溢漏洞小档案:

  暴风影音ActiveX控件存在多个缓冲充溢漏洞,无法正确执行针对用户提供数据的边界检查。成功的攻击可以令远程攻击者执行针对ActiveX控件应用程序(特别是IE浏览器)的任意代码攻击。失败的漏洞利用企图可能导致拒绝式服务情况的出现。

  发现时间:2007年9月8日

  受感染版本:“暴风影音”2.8版和“暴风影音”2.9测试版

  风险级别:高

编辑 赵海涛 太平洋电脑网
[进入IT论坛]
请您文明上网、理性发言并遵守相关规定,在注册后发表评论。
 北方网精彩内容推荐
无标题文档
天津民生资讯
天气交通 天津福彩 每月影讯 二手市场
空气质量 天津股票 广播节目 二手房源
失物招领 股市大擂台 天视节目 每日房价
热点专题
北京奥运圣火传递和谐之旅 迎奥运 讲文明 树新风
解放思想 干事创业 科学发展 同在一方热土 共建美好家园
2008天津夏季达沃斯论坛 《今日股市观察》视频
北方网网络相声频道在线收听 2008高考招生简章 复习冲刺
天津自然博物馆馆藏精品展示 2008年天津中考问题解答
带你了解08春夏服饰流行趋势 完美塑身 舞动肚皮舞(视频)
C-NCAP碰撞试验—雪佛兰景程 特殊时期善待自己 孕期检查
热点新闻排行 财经 体育 娱乐 汽车 IT 时尚 健康 教育

Copyright (C) 2000-2021 Enorth.com.cn, Tianjin ENORTH NETNEWS Co.,LTD.All rights reserved
本网站由天津北方网版权所有