一 : Real Player出现高危级漏洞,请尽快打补!

　　Real Player出现高危级漏洞,请尽快打补!

　　RealNetworks公司今日为旗下的RealPlayer播放器进行了一次重要升级，修补了两个可导致远程恶意代码执行、用户系统被完全控制的漏洞。RealNetworks早在四个月前就收到了漏洞报告。

　　据发现漏洞的eEye Digital Security公司称，通过精心构造一个特殊的.rm文件，攻击者便可引发其中一个漏洞，导致栈存储溢出;而第二个漏洞可使攻击者在用户不知情的情况下向用户系统内下载特殊构造的.rjs文件(RealPlayer播放器皮肤文件)，播放器在处理该文件时便会导致堆存储溢出。

　　受影响的播放器有：Windows平台的RealPlayer 8、RealPlayer 10、RealOne Player v1、RealOne Player v2和RealPlayer Enterprise;Mac平台的RealPlayer 10;Linux平台的RealPlayer 10和Helix Player。

　　RealNetworks建议用户立即升级自己的播放器，

　　具体方法是在菜单中选择工具 选择 “检查更新”,请尽快升级一下。

二 : OpenSSL再曝高危漏洞 百度提醒用户尽快升级补丁

7月9日，OpenSSL官方发布了1.0.2d 和 1.0.1p两个主线版本的更新，修复了1个 “高危”级别的安全漏洞(CVE-2015-1793)。该漏洞可能导致使用OpenSSL的客户端程序在与服务端建立加密连接过程中其证书校验措施被绕过。百度安全提醒用户及时升级到最新的官方版本。

OpenSSL官方对于这一漏洞的描述为：OpenSSL(1.0.1n和1.0.2b以上版本)在证书链验证过程中，如果首次证书链校验失败，则会尝试使用一个其他的证书链来重新尝试进行校验;其实现中存在一个逻辑错误，导致对于非可信证书的一些检查被绕过，这直接的后果导致比如使没有CA签发能力的证书被误判为具有CA签发能力，其进行签发的证书可以通过证书链校验等。

百度安全专家表示，根据OpenSSL官网描述可以看出，该漏洞可能导致证书校验环节被绕过：当客户端向服务器端发起验证时，攻击者可以仿冒服务器，对用户进行钓鱼攻击，或者充当反向代理截取用户敏感信息等;在某些需要服务端同时对客户端进行反向校验的应用场景，如：网银支付证书校验、企业VPN登录、无线Wifi接入等，可能会导致攻击者成功的仿冒特定用户，获取访问相应机密信息的权限。因此百度安全建议相关行业应用及启用反向验证的服务商对该漏洞给予高度重视，及时升级到官方最新版本。

同时，从官网信息可以看到，此次修复的openssl高危漏洞，是今年以来openssl官方修复的第26个漏洞。OpenSSL去年曝出的“心脏滴血”漏洞震惊整个信息安全界，今年又接连曝出数个漏洞。开源软件的安全性实在是让人感到不安。

 

延伸阅读：

• OpenSSL 爆新漏洞「中间人攻击」
• OOpenSSL漏洞可泄露私钥 各大网站应更换证书
• OpenSSL漏洞谁会受影响 用户风险谁来买单？
• 221万主机尚未修复OpenSSL漏洞 邮箱VPN服务居多
• 专家形容OpenSSL漏洞是地震级：门锁好了 窗户虚掩着

三 : 微信红包被爆存高危漏洞：可窃取他人红包

微信红包被爆存高危漏洞：可窃取他人红包

【TechWeb报道】3月5日消息，据乌云漏洞平台今日发布最新高危漏洞显示，微信红包存在设计缺陷，黑客可以设计程序自动领取他人发送的红包，分分钟领取数百元。目前腾讯已经确认该漏洞，等待处理。

乌云漏洞平台显示，白帽黑客only-guest发现了微信红包的高危漏洞，源于厂商的客户端程序设计缺陷，黑客可以绕过权限，设计程序来随意领取红包。该白帽黑客截图显示自己一分钟内领取了200多元红包，并在漏洞描述中玩笑称，“发家致富奔小康，日薪百万不是梦，估计写成程序一天几百万不是问题！”。

目前，这一漏洞细节已经通知厂商，等待处理。根据披露状态，腾讯方面对问题已经确认，正在与业务部门进行沟通制定解决方案。（阿茹汗）

本文标题：openssl高危漏洞-Real Player出现高危级漏洞,请尽快打补!
本文地址： http://www.61k.com/1143785.html