|
|
在Oracle文件處理軟件開發(fā)工具包的缺陷影響主要的第三方產(chǎn)品.遠(yuǎn)程監(jiān)控,遠(yuǎn)程控制軟件.
在甲骨文的外部技術(shù)的十八個(gè)缺陷也影響企業(yè)軟件產(chǎn)品從其他供應(yīng)商
十七高風(fēng)險(xiǎn)漏洞的276個(gè)漏洞的固定的甲骨文星期二影響第三方軟件供應(yīng)商的產(chǎn)品�����,包括微軟。
該漏洞是由思科塔洛斯團(tuán)隊(duì)的研究人員發(fā)現(xiàn)��,位于外面的Oracle技術(shù)(OIT)�,收集的軟件開發(fā)工具包(SDK),可以用來(lái)提取��、規(guī)范���、擦洗��、轉(zhuǎn)換和查看一些600非結(jié)構(gòu)化文件格式���。
這些軟件開發(fā)工具包,這是Oracle融合中間件的一部分�����,授權(quán)給其他人使用他們自己的產(chǎn)品軟件開發(fā)。這樣的產(chǎn)品包括微軟Exchange����,Novell GroupWise,IBM WebSphere Portal���,谷歌搜索應(yīng)用,Avira AntiVir交換���,雷神SureView����,指導(dǎo)包住和VERITAS Enterprise Vault����。
甲骨文沒有列出受影響的第三方產(chǎn)品。然而��,咨詢從幾個(gè)相似的漏洞在甲骨文這是修補(bǔ)在一月CERT協(xié)調(diào)中心有一長(zhǎng)串的受影響的產(chǎn)品�,許多大型軟件廠商。
Oracle.jpg (39.32 KB, 下載次數(shù): 534)
下載附件
Oracle
2016-7-22 07:39 上傳
目前并不清楚這些產(chǎn)品也由新補(bǔ)丁十七漏洞的影響����,因?yàn)樗麄冎械囊恍┤丝赡懿皇褂盟械拇嗳醯腟DK或可能包括其他的限制因素���。
Oracle 8.6分在通用漏洞評(píng)分系統(tǒng)(CVSS)的缺陷,這意味著一個(gè)高級(jí)別��。然而�,在假定的受影響的軟件通過(guò)接收通過(guò)網(wǎng)絡(luò)直接向弱勢(shì)OIT代碼數(shù)據(jù)計(jì)算得分,這可能不是在所有情況下發(fā)生的��。
這是真的�,攻擊者可以利用該漏洞執(zhí)行惡意代碼對(duì)系統(tǒng)通過(guò)發(fā)送特制的內(nèi)容使用脆弱的OIT SDK的應(yīng)用。
思科研究人員證實(shí)微軟Exchange服務(wù)器(2013和更早的版本)如果他們有WebReady文檔查看功能的影響�����。根據(jù)微軟的文檔�����,這個(gè)功能可以讓用戶查看常見的文件類型�����,DOC�����,PDF,PPT和��。在Outlook Web App的Web瀏覽器直接xls�����。
“攻擊者可以通過(guò)發(fā)送惡意的電子郵件附件的受害者打開電子郵件使用網(wǎng)頁(yè)預(yù)覽利用這些漏洞���,”思科該研究人員在博客中說(shuō)��。”此外��,如果啟用了數(shù)據(jù)丟失預(yù)防��,該漏洞可以通過(guò)發(fā)送電子郵件與惡意附件從受影響的交換服務(wù)器發(fā)送一個(gè)簡(jiǎn)單的觸發(fā)���。
如果微軟Exchange服務(wù)器也有Avira AntiVir Exchange安裝���,該漏洞可以通過(guò)簡(jiǎn)單的發(fā)送一個(gè)特制的電子郵件沒有受害者甚至開放開發(fā)。那是因?yàn)檫@個(gè)殺毒程序也使用脆弱的OIT sdk和掃描所有傳入和傳出的電子郵件自動(dòng)�。
文件格式可以是非常復(fù)雜的,沒有適當(dāng)?shù)尿?yàn)證處理��,在歷史上是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞在各種應(yīng)用程序的源代碼����?梢岳斫獾氖牵S多軟件開發(fā)商依靠第三方軟件開發(fā)工具包和庫(kù)解析文件和數(shù)據(jù)格式����,而不是實(shí)現(xiàn)這樣的功能,一個(gè)任務(wù)將是耗時(shí)且容易出錯(cuò)�����。
然而����,不幸的現(xiàn)實(shí)是,漏洞是在一個(gè)SDK�����,第三方應(yīng)用發(fā)現(xiàn)需要額外的時(shí)間來(lái)修補(bǔ):第一����,保持SDK問題解決的組織,和一定量的時(shí)間后,第三方利用SDK客戶包括這些修正提供了一個(gè)更新�����,”思科研究人員說(shuō)�������!边@提供了歹徒可以利用第三方產(chǎn)品漏洞的時(shí)間相當(dāng)大的窗口����!
在一個(gè)超過(guò)百分之80的任何新的軟件應(yīng)用程序由第三方代碼�����,跟蹤外部庫(kù)的漏洞是非常重要的�。不幸的是����,研究表明,許多軟件開發(fā)人員不僅在這個(gè)任務(wù)失敗����,但甚至沒有一個(gè)清晰的圖片���,他們使用的第三方組件,他們的應(yīng)用程序�。
|
|
加載中...
發(fā)表于 2016-7-22 07:39:40
QQ好友和群
收藏