|
|
在Oracle文件處理軟件開(kāi)發(fā)工具包的缺陷影響主要的第三方產(chǎn)品.遠(yuǎn)程監(jiān)控,遠(yuǎn)程控制軟件.
在甲骨文的外部技術(shù)的十八個(gè)缺陷也影響企業(yè)軟件產(chǎn)品從其他供應(yīng)商
十七高風(fēng)險(xiǎn)漏洞的276個(gè)漏洞的固定的甲骨文星期二影響第三方軟件供應(yīng)商的產(chǎn)品���,包括微軟����。
該漏洞是由思科塔洛斯團(tuán)隊(duì)的研究人員發(fā)現(xiàn)��,位于外面的Oracle技術(shù)(OIT)�����,收集的軟件開(kāi)發(fā)工具包(SDK)�����,可以用來(lái)提取����、規(guī)范、擦洗�����、轉(zhuǎn)換和查看一些600非結(jié)構(gòu)化文件格式����。
這些軟件開(kāi)發(fā)工具包,這是Oracle融合中間件的一部分���,授權(quán)給其他人使用他們自己的產(chǎn)品軟件開(kāi)發(fā)���。這樣的產(chǎn)品包括微軟Exchange,Novell GroupWise�,IBM WebSphere Portal,谷歌搜索應(yīng)用�����,Avira AntiVir交換,雷神SureView��,指導(dǎo)包住和VERITAS Enterprise Vault��。
甲骨文沒(méi)有列出受影響的第三方產(chǎn)品���。然而���,咨詢(xún)從幾個(gè)相似的漏洞在甲骨文這是修補(bǔ)在一月CERT協(xié)調(diào)中心有一長(zhǎng)串的受影響的產(chǎn)品,許多大型軟件廠商�����。
Oracle.jpg (39.32 KB, 下載次數(shù): 534)
下載附件
Oracle
2016-7-22 07:39 上傳
目前并不清楚這些產(chǎn)品也由新補(bǔ)丁十七漏洞的影響��,因?yàn)樗麄冎械囊恍┤丝赡懿皇褂盟械拇嗳醯腟DK或可能包括其他的限制因素�����。
Oracle 8.6分在通用漏洞評(píng)分系統(tǒng)(CVSS)的缺陷����,這意味著一個(gè)高級(jí)別。然而����,在假定的受影響的軟件通過(guò)接收通過(guò)網(wǎng)絡(luò)直接向弱勢(shì)OIT代碼數(shù)據(jù)計(jì)算得分,這可能不是在所有情況下發(fā)生的���。
這是真的�����,攻擊者可以利用該漏洞執(zhí)行惡意代碼對(duì)系統(tǒng)通過(guò)發(fā)送特制的內(nèi)容使用脆弱的OIT SDK的應(yīng)用�。
思科研究人員證實(shí)微軟Exchange服務(wù)器(2013和更早的版本)如果他們有WebReady文檔查看功能的影響�����。根據(jù)微軟的文檔����,這個(gè)功能可以讓用戶(hù)查看常見(jiàn)的文件類(lèi)型,DOC�,PDF,PPT和�����。在Outlook Web App的Web瀏覽器直接xls�����。
“攻擊者可以通過(guò)發(fā)送惡意的電子郵件附件的受害者打開(kāi)電子郵件使用網(wǎng)頁(yè)預(yù)覽利用這些漏洞,”思科該研究人員在博客中說(shuō)����������!贝送���,如果啟用了數(shù)據(jù)丟失預(yù)防����,該漏洞可以通過(guò)發(fā)送電子郵件與惡意附件從受影響的交換服務(wù)器發(fā)送一個(gè)簡(jiǎn)單的觸發(fā)���。
如果微軟Exchange服務(wù)器也有Avira AntiVir Exchange安裝�,該漏洞可以通過(guò)簡(jiǎn)單的發(fā)送一個(gè)特制的電子郵件沒(méi)有受害者甚至開(kāi)放開(kāi)發(fā)�����。那是因?yàn)檫@個(gè)殺毒程序也使用脆弱的OIT sdk和掃描所有傳入和傳出的電子郵件自動(dòng)�����。
文件格式可以是非常復(fù)雜的,沒(méi)有適當(dāng)?shù)尿?yàn)證處理���,在歷史上是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞在各種應(yīng)用程序的源代碼�����?梢岳斫獾氖��,許多軟件開(kāi)發(fā)商依靠第三方軟件開(kāi)發(fā)工具包和庫(kù)解析文件和數(shù)據(jù)格式��,而不是實(shí)現(xiàn)這樣的功能���,一個(gè)任務(wù)將是耗時(shí)且容易出錯(cuò)���。
然而,不幸的現(xiàn)實(shí)是�����,漏洞是在一個(gè)SDK���,第三方應(yīng)用發(fā)現(xiàn)需要額外的時(shí)間來(lái)修補(bǔ):第一����,保持SDK問(wèn)題解決的組織,和一定量的時(shí)間后���,第三方利用SDK客戶(hù)包括這些修正提供了一個(gè)更新��,”思科研究人員說(shuō)���。”這提供了歹徒可以利用第三方產(chǎn)品漏洞的時(shí)間相當(dāng)大的窗口������!
在一個(gè)超過(guò)百分之80的任何新的軟件應(yīng)用程序由第三方代碼,跟蹤外部庫(kù)的漏洞是非常重要的���。不幸的是��,研究表明��,許多軟件開(kāi)發(fā)人員不僅在這個(gè)任務(wù)失敗�,但甚至沒(méi)有一個(gè)清晰的圖片,他們使用的第三方組件���,他們的應(yīng)用程序���。
|
|
加載中...
發(fā)表于 2016-7-22 07:39:40
QQ好友和群
收藏