近期新增严重漏洞评述

　　微软10 月的安全公告共8 个，其中4 个为严重等级，4 个为重要等级。这些公告修补了包括Windows 系统、IE 浏览器、Office 软件、Silverlight、及.Net 等多个常用组件中28 个安全漏洞。其中IE 浏览器累计性补丁（MS13-080）修补了IE 浏览器各版本中的多个远程代码执行漏洞，9 月曝出的IE 0day 漏洞(CVE-2013-3893) 也在此次累计包中得到了修补。针对上述漏洞用户应该尽快安装相应的补丁程序，公告的详细信息请参见：http://technet.microsoft.com/zh-cn/security/bulletin/ms13-Oct。

　　Adobe 公司10 月的安全公告共3 个，其中需要关注的是公告apsb13-25，该公告用于修补Adobe Acrobat/Reader 中的一个远程代码执行漏洞，漏洞存在于产品的Javascript 安全控件中，攻击者可以构造恶意的pdf 文件引诱用户打开来利用该漏洞，漏洞影响最新的X1 11 版本，建议用户尽快升级自己的pdf 软件，漏洞的相关信息可参见：https://www.adobe.com/support/security/bulletins/apsb13-25.html。

　　在10 月Oracle 公司也发布了今年第4 季度的安全更新，修补其多款产品中的127 个安全漏洞，其中有26 个为严重等级的漏洞，116 个可被远程利用。涉及的产品包括：Oracle 数据库（2 个）、中间件产品Fusion Middleware（17 个）、供应链套装软件Oracle Supply Chain Products Suite（2 个）、电子商务套装软件OracleE-Business Suite（1 个）、企业管理器网格控制产品Oracle Enterprise Manager Grid Control（4 个）、Oracle Siebel 托管型CRM 软件（9 个）、IndustryApplications（6 个）、FinancialServices（1 个）、Virtualization（2 个）、iLearning（2 个）、PeopleSoft 产品（8 个）、Primavera 产品（2 个）、Java SE（51个）、Oracle 和Sun 系统产品（12 个）和MySQL 数据库（8 个）。

　　这些漏洞中与普通用户相关的主要是Java SE，建议用户尽快根据自己的情况更新相应的补丁程序。Oracle 安全更新的详细信息请参见：http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html。

　　10 月另一个值得关注的安全漏洞是D-Link 路由器固件后门漏洞，这个漏洞涉及多款D-Link 产品，由于路由器的固件系统中预留了后门，攻击者只需发送特定的字符到路由器就可完全控制路由器。由于漏洞只能通过刷新路由器的固件版本来解决，而这个工作并不是普通用户能够随便做到的，因此建议使用下列型号（D-Link DI-524 、D-Link DIR-100 1.13、D-Link DI-524UP 、D-Link DI-604S 、D-Link DI-604UP 、D-Link DI-604+ 、D-Link TM-G5240）产品的用户暂停使用该产品。

　　（作者单位为中国教育和科研计算机网应急响应组）