近期新增严重漏洞评述

　　1. 微软8 月的安全公告共8 个（MS13－ 059 至MS13 － 066），其中3 个为严重等级，5 个为重要等级。这些公告共修补了Windows 系统、IE 浏览器及Exchange 服务器中的23 个安全漏洞。漏洞的详细信息请参见：http://technet.microsoft.com/zh-cn/security/bulletin/ms13-Aug。

　　2. Adobe 公司8 月没有发布例行的安全公告，不过有信息称Adobe Reader 中存在一个0day 漏洞，Adobe Reader 11.0.03（目前的最新版本）在处理用户输入时存在一个不明错误，可能导致执行任意代码。攻击者可以伪造特制的PDF 文档来引诱用户打开从而利用该漏洞。由于厂商还未发布相应的补丁程序，建议用户可以暂时选择其他PDF 阅读软件来替代Adobe Reader，并随时关注厂商的更新动态http://www.adobe.com/support/security/。

　　3. Oralce 公司的Java 运行环境Java7u25 之前版本内的BytePackedRaster.verify() 方法存在签名整数溢出漏洞，可允许绕过"dataBitOffset" 边界检查，远程执行任意代码。目前厂商已经针对该漏洞发布了补丁程序，建议尽快更新。http://www.oracle.com/technetwork/java/javase/7u25-relnotes-1955741.html。

　　4. 第三方浏览器方面，Mozilla 公司的Firefox 浏览器已经更新到22 版本，不过有消息称最新版本中依然存在一个Javascript脚本执行漏洞，建议相关用户随时关注新版本的更新。而Google 公司的Chrome 浏览器则更新到了29.0.1547.57 版本。

　　5. DNS 服务软件BIND 存在一个SRTT 算法授权服务器选择安全漏洞，这个漏洞可能导致DNS 服务器的缓存被污染，目前ISC 还未给出补丁程序。漏洞的相关信息可参见：https://kb.isc.org/article/AA-01030 。

　　（作者单位为中国教育和科研计算机网应急响应组）